Cos’è il GDPR?
E’ il nuovo regolamento Europeo sulla Privacy, acronimo di General Data Protection Regulation (UE 2016/679) che sancisce la protezione dei dati personali delle persone fisiche come un diritto fondamentale.
Le tutele per l’utente / persona
Tutto l’impianto normativo va in favore dell’utenza, che avrà di fatto una maggior tutela, grazie a:
- Accesso più facile ai propri dati, con maggiori info (chiare e precise) su come i dati vengono processati dall’azienda
- Diritto alla trasferibilità dei dati tra diversi fornitori di servizi
- Diritto all’oblio, se un individuo non desidera più che i propri dati vengano trattati
- Forti tutele sui dati personali dei minori
- Diritto alla conoscenza nel momento in cui i propri dati siano stati violati
Il nuovo regolamento Privacy applica due principi:
- Privacy by Design
- Privacy By Default
Tali principi base stabiliscono che il consento al trattamento dei dati personali debba essere sempre valido, revocabile ed esplicito. Di fatto, si impone una salvaguardia costante relativa ai dati custoditi da ciascuna impresa fin dalle fasi iniziali di ciascun processo
Il principio della Privacy By Design
Si tratta di un processo “evolutivo” al tema Privacy degli utenti, dove sono proprio gli utenti al centro di tutto. Qualunque progetto va pensato e realizzato pensando a come garantire la riservatezza e la protezione dei dati personali che vengono toccati nello specifico progetto, individuando a priori eventuali rischi Privacy, tramite un Privacy Impact Assessment (una valutazione di impatto Privacy).
Non c’è uno standard fisso e unico per qualunque progetto, ma la tutela deve essere pensata ad hoc per ogni progetto, lungo 3 punti:
- sistemi IT;
- procedure commerciali (adeguate e corrette);
- progettazione strutturale e dell’infrastruttura di progetto.
Sono inoltre 7 i principi chiave di questo nuovo approccio alla Privacy (online e non):
- Occorre un approccio proattivo, non reattivo (quindi a favore della prevenzione);
- Il rispetto della Privacy è un’impostazione di base;
- La tutela della Privacy è una finalità incorporata nella progettazione;
- Sicurezza senza se e senza ma;
- Protezione piena del ciclo vitale dei dati;
- Visibilità e trasparenza nella gestione dei dati;
- Rispetto per la privacy dell’utente.
Il principio della Privacy By Default
Questo principio di fondo, invece, sostiene che le aziende devono trattare i dati personali solo nella misura necessaria per gli scopi previsti e per un tempo strettamente necessario a questi fini. Ancora una volta, dunque, la fase di progettazione è fondamentale e deve considerare questo approccio, avendo bene a mente la garanzia della non eccessività dei dati raccolti.
Quando si dà a un utente la possibilità di registrarsi a un sito web, per prenotare una visita o per iscriversi a una newsletter, etc…, occorre prestare attenzione a quali dati vengono raccolti e perché.
Non ci può essere arbitrarietà, ma devono essere esplicitate le modalità di raccolta dei dati, le finalità di ciascun dato raccolto, quali soggetti sono autorizzati ad accedere al database che conserva i dati, quali rischi per la sicurezza potrebbero esserci e quali misure per proteggere tale database verranno adottate.
Data Breach
Il GDPR è chiaro: ogni azienda deve spiegare e documentare come agirebbe in caso di violazione dei dati; inoltre, sempre in tale caso, va informata l’autorità di vigilanza entro 72 ore dal fatto.
Il già menzionato “PIA” – Privacy Impact Assessment – ha proprio lo scopo di stabilire in anticipo quali rischi ci possono essere nel trattamento dei dati nel particolare business specifico e quali misure vengono messe in campo per ridurre al minimo i rischi. Inoltre, vanno previste anche delle modalità di comunicazione agli utenti in caso di data breach.
Cosa facciamo di fronte al GDPR
In super sintesi, sono 5 i punti chiave che ogni azienda deve affrontare per adeguarsi al GDPR:
- Controllare pienamente l’accesso ai dati, con database strutturati e destrutturati
- Identificazione chiara dei dati personali gestiti (con accesso immediato, profilazione, norme di sicurezza a favore della tutela dei dati)
- Governance dei dati: esplicitazione delle policy, identificazione dei processi di gestione, assegnazione delle responsabilità.
- Strategie di protezione dei dati: anonimizzazione dei record di dati e crittografia.
- Controllo delle procedure applicate, con reportistica interna, verifiche, gestione proattiva del rapporto con gli utenti.
Tutti questi aspetti confluiscono in un Registro delle Attività di Trattamento dei dati, in cui appunto sono spiegate tutte le procedure, le finalità, i software utilizzati, le persone coinvolte, le responsabilità, le misure di sicurezza previste nella gestione dei dati personali trattati.
La normativa è un po’ più morbida per le piccole aziende. I punti elencati sopra per tutte le aziende, peró è bene sapere che:
- le PMI sono di fatto sollevate dall’obbligo di nominare un DPO nel momento in cui il trattamento dei dati non sia cruciale rispetto all’attività di un’impresa;
- in caso di richieste di accesso ai dati con costi elevati (come tempo o denaro), potrà essere richiesta una tariffa per fornire l’accesso o per garantire una modifica dei dati;
- il Privacy Impact Assessment non è obbligatorio, salvo rischi specifici dovuti a una grande mole di dati trattati, soprattutto tramite internet;
- le notifiche ordinarie all’autorità garante della Privacy non saranno più da fare; rimarranno solamente le comunicazioni straordinarie, per questioni che mettono a rischio la Privacy degli utenti.
Diritto all’oblio nel GDPR
Il GDPR, infatti, si limita a prevedere che l’interessato ha il diritto di ottenere, senza ingiustificato ritardo, la cancellazione dei dati che lo riguardano in casi specificamente individuati:
- qualora i dati personali non siano più necessari in relazione alle finalità per le quali erano stati originariamente forniti, raccolti, trattati;
- quando l’interessato revoca il consenso e non sussiste altro fondamento giuridico per il trattamento;
- quando l’interessato si oppone al trattamento;
- qualora i dati personali sono stati trattati illecitamente;
- quando i dati personali devono essere cancellati per adempiere ad un obbligo legale;
- quando i dati personali sono trattati in relazione all’offerta di servizi della società dell’informazione a minori inferiori a 16 o età inferiore (non inferiore a 13) prevista dagli Stati membri.
In ottemperanza del General Data Protection Regulation (GDPR, UE 2016/679), vi informiamo di quanto segue.
Per qualsiasi informazione vi invitiamo a contattarci via email a: info@timtamslam.it e darci notizia delle vostre necessitá. Queste sono le regole che applichiamo in ottemperanza alla direttiva UE 2016/679:
Accesso più facile ai propri dati, con maggiori info (chiare e precise) su come i dati vengono processati dall’azienda
In ogni momento é possibile accedere al proprio account e modificare o cancellare i dati o eliminare tutto ció che esiste (di dati e di storico). Il provider di cui ci avvaliamo é ARUBA, i dati sono inseriti nei loro server.
Diritto alla trasferibilità dei dati tra diversi fornitori di servizi
Non daremo mai a nessuno i dati che ci vengono forniti, tantomeno li trasferiremo ad altri, senza previa autorizzazione scritta e concessa.
Diritto all’oblio, se un individuo non desidera più che i propri dati vengano trattati
Qualora decideste di cancellarvi dal nostro sito ed eliminare il vostro account o voleste eliminarvi dalla newsletter, potrete comunicarcelo e immediatamente ci attiveremo per soddisfare la vostra esigenza.
Forti tutele sui dati personali dei minori
Siamo tutti genitori, i minori avranno precedenza su tutto e tutti.
Diritto alla conoscenza nel momento in cui i propri dati siano stati violati
Non accadrá mai che i vostri dati possano essere violati, qualora succedesse sarete informati per tempo e via email (utilizzeremo quella da voi rilasciata in fase di registrazione) di quanto sia accaduto. Ricordiamo che i dati sono allocati nei server di ARUBA.
Finalita’ dei dati
Tratteniamo i vostri dati per:
- completare gli ordini effettuati
- inviarvi newsletter (dalle quali potete autonomamente cancellarvi)
A chi possiamo trasmettere i vostri dati?
- ai corrieri che necessitano dei recapiti (indirizzo, email, numero telefonico) per poter effettuare le consegne
- ad ARUBA, che ha il nostro database in gestione
- a PayPal, ma qui vi trasferiamo direttamente al loro sito, quindi facciamo solo da tramite
- a Google, per eventuali indagini di mercato, ma sui loro servers
Tutte le comunicazioni avverranno per via telematica, direttamente nel sito o tramite email.
PERCHÉ NOI, LE REGOLE, LE SCRIVIAMO IN GRANDE PER POTER ESSERE LETTE E CAPITE MEGLIO!
effezeta Distribution Italy | Via Oricola 9 | 00012 Guidonia (RM) | P.IVA/VAT 13769391007 | email: info@timtamslam.it | pec: fzdi@pec.it