Seguici su Facebook Seguici su Instagram

GDPR 2018

Che cos’è il GDPR? 

General Data Protection Regulation.

Un regolamento europeo sulla protezione dei dati personali che, a partire dal 25 MAGGIO 2018, sostituisce le leggi esistenti sulla protezione dei dati in tutti gli Stati membri dell'UE.

Lo scopo del regolamento è di proteggere i dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale, dall’alterazione, dall’accesso o divulgazione non autorizzati, e da qualsiasi altra forma illecita di trattamento. 

GDPR sarà applicato inderogabilmente dal 25 MAGGIO 2018.

La decisione del Regno Unito di lasciare l'UE non ne influenzerà l'entrata in vigore.

 

A chi si applica il regolamento GDPR?

Il GDPR vale per i soggetti e le organizzazioni che trattano dati personali all’interno dell’UE o trattano dati fuori dall’UE, ma che fanno riferimento a cittadini europei.

 

I titolari del trattamento dei dati personali sono persone fisiche o “persone giuridiche”, e sono coloro che determineranno le finalità, le condizioni e gli strumenti per il trattamento dei dati personali. Titolare potrebbe essere ad esempio un medico con i dati dei pazienti.

 

I responsabili del trattamento sono le entità che elaborano i dati per conto dei titolari del trattamento. Ad esempio un'organizzazione che memorizzi, digitalizzi e cataloghi tutte le informazioni prodotte su carta da parte di una banca.

 

A quali dati si applica il GDPR? 

Il GDPR si applica ai dati personali.

I dati personali sono informazioni che possono essere utilizzate, da sole o con altre informazioni, per identificare l'utente come persona.

 

Ad esempio:

 

 

Nome

Codice Fiscale

 
 

Cognome

Numero di Passaporto

 
 

Data di Nascita

Indirizzi IP (associato ad altre informazioni)

 
 

Indirizzo di Casa

Targa Automobilistica

 
 

Indirizzo email

Patente di Guida

 
 

Numero di Telefono

Dati Biometrici o Calligrafici

 
 

Documentazione Sanitaria     

Informazione Genetica

 

 

 

Come fanno le organizzazioni a raggiungere la conformità sul GDPR?

Esse devono elaborare tutti i dati personali in modo lecito, con correttezza e in modo trasparente.

 

I dati personali devono essere rilevati solo per finalità determinate, esplicite e legittime.

 

I dati personali devono essere elaborati in modo da garantire l’adeguata sicurezza degli stessi.

 

“Privacy by design”: il tema della privacy by design permea il GDPR, con l'obiettivo che la sicurezza sia considerata come parte fondamentale già in fase di progetto e di utilizzo di tutti quei prodotti o servizi che gestiscano dati personali.

 

Le aziende dovranno implementare la privacy fin dall'inizio di qualsiasi progetto che coinvolga informazioni personali.

 

Responsabili della protezione dei dati (DPO) sono necessari quando:

 

Il trattamento dei dati personali è ad opera di autorità pubbliche.

L'elaborazione viene eseguita dai soggetti che regolarmente e sistematicamente trattano dati personali su larga scala.

 

Il soggetto tratta su larga scala categorie specifiche di dati ‘speciali’, ad esempio idonei a rivelare:

 

  • salute 
  • origine razziale o etnica
  • opinioni politiche
  • convinzioni religiose o filosofiche
  • appartenenza a sindacati
  • condanne penali
     

Si noti che anche se una prima bozza della GDPR limitava l’obbligatorietà del DPO alle aziende con più di 250 dipendenti o che trattano dati personali per 5.000 o più soggetti, la versione finale non ha alcuna restrizione in merito.

 

Le organizzazioni dovranno quindi considerare:  

  • Di quali dati personali sono titolari.
  • Dove i dati personali vengono memorizzati.
  • Come i dati personali vengono memorizzati.
  • Chi può accedere ai dati personali.
  • Come si ottiene l'accesso ai dati personali.
  • Chi sta monitorando i dati personali.
  • Come i dati personali sono accessibili su richiesta.
  • Come i dati personali possono essere cancellati su richiesta.

 

 

GDPR Data Breach

Il GDPR definisce la violazione dei dati come una violazione della sicurezza che conduce ad accesso, distruzione, perdita, alterazione o divulgazione non autorizzata dei dati personali.

 

Questo significa che una violazione dei dati è molto più della sola perdita dei dati personali.


Ad esempio:

  • Un ospedale potrebbe essere responsabile di una violazione se la cartella clinica di un paziente risultasse accessibile in modo inappropriato a causa di una mancanza di adeguati controlli interni. 
  • Una banca potrebbe essere responsabile di una violazione se i dati personali dei loro clienti venissero distrutti a causa di un'infezione da “ransomware”.

 

Una violazione dei dati potrebbe essere causata dall'interno.

 

Ad esempio:

  • Perdita accidentale dei dati personali, ad esempio attraverso lo smarrimento di un laptop o di un dispositivo mobile non crittografati.
  • Divulgazione accidentale dei dati personali, ad esempio l’invio di una email contenente dati personali non crittografati al di fuori dell’organizzazione.
  • Furto deliberato dei dati personali, ad esempio l’esportazione con dispositivi di archiviazione USB.

 

Una violazione dei dati potrebbe essere causata dall'esterno.

Ad esempio:

 

  • Attacco mirato ai sistemi che contengono dati personali.
  • Perdita dei dati portata dall’infezione dei sistemi da parte di un “malware”.

 

GDPR Notifica Violazione dei Dati

I titolari del trattamento sono tenuti a segnalare una violazione dei dati all'autorità di vigilanza competente senza indebito ritardo.

  • Nel caso in cui la violazione dei dati personali possa provocare un rischio elevato ai diritti e le libertà di un soggetto, il titolare del trattamento deve comunicare la violazione all'interessato senza indebito ritardo.
  • Nel caso in cui la violazione non arrechi un rischio per i diritti e le libertà delle persone interessate, andrà comunicata entro e non oltre le 72 ore successive alla scoperta

 

 

   
Vuoi diventare Rivenditore

INFO