gdprche cos'è a chi è rivolto chi deve farlo

GDPR 2018: key points ed informazioni per le aziende

In questo articolo vogliamo riepilogare tutte le informazioni che abbiamo raccolto utili alle aziende e alle partite iva in generale per la compliance al GDPR 2018.

Abbiamo riassunto in maniera semplice tutte le informazioni che noi di Micropedia abbiamo raccolto per la conformità al GDPR.

Qualora riscontraste inesattezze o per richieste di chiarimenti, vi chiediamo di comunicarcelo scrivendoci ad info@micropedia.net

Che cos'è il GDPR?

Il 25 maggio 2018 sarà il termine ultimo per adeguarsi al nuovo GDPR che è un acronimo indicante il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016.

In quell'occasione il parlamento europeo ha stabilito il termine ultimo del 25 maggio 2018 per adeguarsi alle nuove normative in materia di dati personali.

Per informazioni dettagliate sulla normativa ufficiale potete leggere direttamente il nuovo regolamento del garante della privacy relativo alla protezione di persone fisiche.

 

A chi è rivolto il GDPR? Chi deve farlo?

L'unione europea ha stabilito che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

Con l'evoluzione della tecnologia le informazioni di carattere personale sono sempre più diffuse tra le banche dati, i social network i dati inseriti nei software gestionali.

Il GDPR non si applica al trattamento di dati personali effettuato da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale.

Le attività a carattere personale o domestico potrebbero comprendere la corrispondenza e gli indirizzari, o l’uso dei social network e attività online intraprese nel quadro di tali attività.

Tuttavia, il GDPR si applica ai titolari del trattamento o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico per esempio i social network come Facebook o Twitter.

Pertanto tutti i dati personali che vengono trattati per uso commerciale rientrano nel GDPR che vale quindi per chiunque abbia una partita IVA.

Aggiungiamo che il GDPR non vale solo per i dati in formato elettronico ma anche in formato cartaceo, che quindi vanno anch'essi custoditi ed eventualmente distrutti alla fine del trattamento.

Quali sono i dati personali di cui parla il GDPR?

I dati personali che riguardano il GDPR sono tutti quelli che raccogliamo solitamente nei nostri database per inviare comunicazioni ai nostri clienti.

In particolare sono:

  • Cognome e nome
  • Indirizzo
  • Numero di telefono
  • Indirizzo email
  • Codice fiscale
  • Numero del documento
  • Orientamento religioso
  • Orientamento sessuale
  • Eventuali malattie
  • Eventuali handicap (sordità, legge 104,cecità,impotenza,infertilità)
  • Dati genetici
  • Dati audiometrici
  • Referti medici
  • Radiografie
  • Analisi del sangue
  • Stato di famiglia
  • Stato civile
  • Professione (alcune professioni sono dati sensibili specialmente se si tratta di organismi di polizia giudiziaria)
  • Reddito (Modelli Unico, F24, Estratti conto bancari)
  • Fedina penale
  • Impronte digitali
  • Merito creditizio
  • Visure camerali
  • Buste paga
  • Numeri di conto corrente bancario
  • Saldo del conto corrente bancario
  • Account email
  • Dati di accesso a servizi bancari
  • Dati di accesso a conti di gioco
  • Dati di accesso a Paypal
  • Indirizzi IP
  • Firme scannerizzate
  • Volti fotografati o fotocopiati specie se di minori
  • Documenti fotocopiati
  • Targhe di auto

Una informazione importante: il GDPR non si applica alle persone decedute.

Il garante per i dati personali raccomanda la minimizzazione, ossia in ogni ambito la raccolta solo dei dati strettamente necessari.

Come adeguarsi al GDPR? Le linee guida in breve.

Ci sono vari step che bisogna seguire per adeguarsi al GDPR. Ovviamente dobbiamo applicare solo quelli che ci interessano e che utilizziamo per la raccolta dati personali.

La prima cosa da fare è ottenere il consenso all'utilizzo dei dati personali già in nostro possesso e predisporci per i nuovi contatti

Il consenso al trattamento: libero esplicito ed inequivocabile

Per prima cosa bisogna raccogliere il consenso degli interessati. Bisogna inviare ai nostri clienti una lettera di consenso al trattamento dei dati personali per ogni singola finalità per cui vogliamo utilizzarli. Il cliente deve restituircela adeguatamente firmata e dobbiamo conservarla per dimostrare di aver ottenuto il consenso esplicito. Il consenso deve essere infatti verificabile. E'opportuno conservare anche la mail che ci ha inviato il cliente con allegato il consenso firmato e timbrato.

Se ad esempio raccogliamo il consenso per inviare newsletter pubblicitarie ma anche per inserire i dati in un archivio che ci serve per fare statistiche, dobbiamo esplicitamente richiedere con voci diverse il consenso per ognuna delle due necessità.

Una volta ottenuto il consenso dobbiamo specificare al cliente che può variare quando vuole il consenso che ci ha dato, che tratterremo i suoi dati solo per la durata specifica del trattamento e che al termine del rapporto distruggeremo tutti i dati, il cosiddetto diritto all'oblio.

In qualunque momento il cliente può richiederci i dati in nostro possesso, quindi facciamo in modo di tenerli organizzati per cliente perchè dobbiamo pure fornirglieli in tempi ragionevoli. Per richiedere i dati, la loro modifica o cancellazione, il cliente può inviare al responsabile del trattamento questo modulo di richiesta di esercizio dei diritti GDPR.

Ecco un esempio di richiesta di consenso ai clienti GDPR CONSENSO CLIENTI

Le newsletter

Se siamo soliti inviare newsletter ai nostri clienti, una volta raccolto il consenso esplicito possiamo riprendere ad inviarle. Per i nuovi clienti che vogliamo iscrivere alle nostre newsletter dobbiamo predisporre sui form di inserimento una checkbox in cui specifichiamo la richiesta di consenso con una frase del tipo

Ho letto l’informativa Privacy e acconsento al trattamento dei miei dati personali per l’invio di newsletter mensili via mail.

Indichiamo anche la nostra informativa privacy per mostrarvi un esempio di come deve essere compilata.

Noi ci siamo affidati per la compilazione della privacy al servizio Iubenda, che è molto completo ed è seguito da avvocati che aggiornano in tempo reale lo script.

Molti provider come ad esempio Mailchimp hanno adeguato i propri plugin per Wordpress ad esempio dando la possibilità di inserire le opportune checkbox per la richiesta di consenso.

Questa cosa va fatta anche sui siti di prenotazione, sui booking engine e sui moduli di richiesta di contatto dei siti internet.

I dati dei dipendenti

Per il GDPR esiste pure la Employee Personal Information Privacy Notice. I datori di lavoro devono far firmare un consenso ai propri dipendenti dei quali raccolgono informazioni e ciò impatta sugli uffici Human Resources (HR) delle principali aziende.

Aumentano i diritti dei dipendenti. Innanzitutto, potranno accedere a dettagliate informazioni sul flusso dei loro dati, perché e come vengono trattati, pretendendo trasparenza e sicurezza. In secondo luogo, possono chiedere la rettifica o la cancellazione di dati non più necessari, applicando il cosiddetto diritto all’oblio. Si pensi soprattutto alla conclusione di un rapporto di lavoro e alla dismissione di tutti gli account e strumenti contenenti i dati dell’ex-dipendente.

Al di là di ciò che è ovvio – nome, indirizzo, data di nascita, stato civile, fascia di reddito ecc. – il dipendente ha presso la propria azienda informazioni quali la storia salariale, le esigenze dietetiche, lo stato del visto, la patente e molto di più.

Il dipendente potrà quindi richiedere in ogni momento, ed esercitare il proprio diritto all’oblio, in merito a tutti i dati che riguardano:

  • Recruitment: CV, moduli di candidatura, invii personali.
  • Payroll: tutti i dati personali presenti suo libro paga
  • Spese, viaggi, visite mediche: dichiarazioni di spesa, documenti di viaggio, informazioni mediche e dentistiche.

 

Facebook

Mentre prima di godeva di apparente immunità, adesso il garante ha identificato a norma di legge il reato di Cyberbullismo.

Attraverso un apposito modulo adesso possiamo richiedere il blocco e/o il divieto della diffusione online di contenuti ritenuti atti di cyberbullismo ai sensi dell’art. 2, comma 2, della legge 71/2017 e degli artt. 143 e 144 del d.lgs. 196/2003.

 

Che cosa si intende per Cyberbullismo?

Ci troviamo in un caso di cyberbullismo se siamo testimoni di una delle seguenti attività sui social:

  • pressioni
  • aggressione
  • molestia
  • ricatto
  • ingiuria
  • denigrazione
  • diffamazione
  • furto d’identità (es: qualcuno finge di essere me sui social network, hanno rubato le mie password e utilizzato il mio account sui social network, ecc.)
  • alterazione, acquisizione illecita, manipolazione, trattamento illecito di dati personali (es: qualcuno ha ottenuto e diffuso immagini, video o informazioni che mi riguardano senza che io volessi, ecc.)
  • qualcuno ha diffuso online dati e informazioni (video, foto, post, ecc.) per attaccare o ridicolizzare me, e/o la mia famiglia e/o il mio gruppo di amici

 

Per inviare la segnalazione al garante è possibile utilizzare l'apposito modulo per la denuncia del cyberbullismo

 

Adeguamento GDPR del sito internet cosa fare

Se avete un sito internet su CMS come Wordpress ma anche semplicemente un sito in HTML, per prima cosa verificate quali script avete installato. Se non richiedete iscrizioni a newsletter come nel punto precedente, non avete link con pagine facebook, non avete installato gli script di Google Analyticso altri script tipo Albacross che raccolgono informazioni ai fini marketing sui visitatori del sito e non fate pubblicità con AdWords o altri strumenti che raccolgono dati personali, non dovete fare nulla.

In caso contrario, per prima cosa occorre verificare tutti i cookie che questi script installano all'insaputa del visitatore, che deve dare il consenso esplicito all'installazione prima dell'utilizzo, separando le singole finalità.

Il tool migliore che abbiamo trovato in questo caso si chiama Cookiebot ed è gratuito per gli usi più importanti legati al GDPR.

Sul sito di Cookiebot potete fare anche la verifica direttamente sul sito Cookiebot che vi manderà i risultati della compliance alla Cookie Law via mail oppure utilizzare Cookiemetrix.

Una cosa importante da sapere è che per i cookie cosiddetti tecnici che servono al funzionamento del sito, non è necessario richiedere il consenso.

La cosa che rende Cookiebot conforme al GDPR è il fatto che per ogni singola tipologia di cookie ci viene richiesto il consenso separato, con l'obbligatorietà di accettare solo i cookie tecnici obbligatori al normale funzionamento del sito. In un'apposita sezione del widget possiamo anche scrivere una descrizione del significato di ogni singolo cookie, in modo che l'interessato sappia dettagliatamente il consenso che sta fornendo.

Oltre alla cookie policy sul sito deve essere presente anche un banner relativo alla privacy policy per la quale come prima accennato, ci siamo affidati al plugin di Iubenda che è molto completo per la privacy mentre per i cookie non è stato ancora adeguato pertanto lo sconsigliamo.

Le figure professionali del GDPR

Esistono diversi profili professionali legati al trattamento dei dati personali che le aziende con più di 250 dipendenti devono obbligatoriamente adottare:

Il titolare o responsabile del trattamento è il legale responsabile, colui che risponde direttamente in caso di inadempienze

Il Data Protection Officer (DPO), figura di supporto al titolare o responsabile del trattamento nell’applicazione e per l’osservanza del Regolamento (UE) 2016/679 (“Regolamento”), in conformità agli articoli 37, 38 e 39 del medesimo;

Il Manager Privacy è una figura che assiste il titolare nelle attività di coordinamento di tutti i soggetti che – nell’organizzazione – sono coinvolti nel trattamento di dati personali, garantendo il rispetto delle norme in materia di privacy e il mantenimento di un adeguato livello di protezione dei dati personali;

Lo Specialista Privacy è una figura che collabora con il Manager Privacy e cura la corretta attuazione del trattamento dei dati personali all’interno dell’organizzazione, svolgendo le attività operative che, di volta in volta, si rendono necessarie durante tutto il ciclo di vita di un trattamento di dati personali;

Il Valutatore Privacy è una figura indipendente dal Manager e dallo Specialista Privacy che esamina periodicamente il trattamento dei dati personali, valutando il rispetto alle normative – nazionali, dell’Unione Europea e internazionali – applicabili e approva le misure necessarie per l’eliminazione di eventuali non conformità alla disciplina prescritta.

La norma UNI 11697:2017 stabilisce le caratteristiche e i titoli professionali che deve possere ognuna di queste figure.

 

Il registro dei trattamenti

Diamo subito una buona notizia: Il GDPR prevede una deroga per le organizzazioni che hanno meno di 250 dipendenti per quanto riguarda la conservazione delle registrazioni a meno che non vengano effettuati trattamenti che possono presentare un rischio per i diritti e le libertà degli interessati.

L’art. 30 del GDPR, oltre a prevedere che il registro debba essere tenuto in forma scritta, anche in formato elettronico e che debba essere esibito su richiesta al Garante, fornisce anche una lista di contenuti obbligatori:

  • il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  • le finalità del trattamento;
  • una descrizione delle categorie di interessati e delle categorie di dati personali;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  • ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

Il registro dei trattamenti va inviato al Garante periodicamente ed è previsto un rimborso dei diritti di segreteria utilizzando questa modulistica:


- Modello per la richiesta di rimborso dei diritti di segreteria per notificazione

 - Modello per la richiesta di attestazione di pagamento dei diritti di segreteria per la notificazione

Visto che ognuno di noi potrebbe essere destinatario di un trattamento o essere presente in un registro dei trattamenti, c'è un sito dove possiamo collegarci per verificare se siamo presenti in qualche registro di trattamento https://web.garanteprivacy.it/rgt/NotificaEsplora.php

 

Minori

Il consenso dei minori è valido a partire dai 16 anni di età. Prima dei 16 anni occorre raccogliere il consenso dei genitori o di chi ne fa le veci. Questo da tenere presente soprattutto quando viaggiate e vi recate ad esempio in un albergo, dove per motivi legati all'ISTAT, tassa di soggiorno e questura vengono raccolti anche dati di minori.

Ecco un esempio di richiesta consenso per i minori GDPR CONSENSO MINORI

 

Videosorveglianza

Il nuovo GDPR prevede che ii cittadini che transitano in aree sorvegliate, devono essere informati con cartelli sempre visibili; che i sistemi di videosorveglianza installati da soggetti pubblici e privati collegati alle forze di polizia siano, a loro volta, segnalati da uno specifico cartello informativo, e che le telecamere installate ai fini di tutela dell’ordine e della sicurezza pubblica, possono non essere segnalate. Inoltre grazie al diritto all'oblio, gli interessati possono richiedere in ogni momento la cancellazione di tutte le videoregistrazioni che lo riguardano a meno che non siano oggetto di un indagine giudiziaria, al termine della quale verranno cancellate.

Il garante ha predisposto una apposita informativa per la segnalazione della videosorveglianza GDPR

 

I dati nei software

Anche i software nei quali sono presenti dati personali vanno adeguati al GDPR. una serie di misure sono infatti necessarie per aumentare il grado di sicurezza:

  1. Protezione con password dei database contenenti di dati personali
  2. Backup su dispositivo esterno (FTP) dei dati almeno una volta al giorno in formato crittografato
  3. Accesso ai dati mediante password di ogni singolo utente
  4. Chiusura automatica della sessione dopo 5 minuti di inattività dell'utente
  5. Log degli accessi al sistema
  6. Data audit sulle tabelle che contengono dati sensibili (anagrafiche clienti, fornitori, dati fiscali, dati biometrici, dati sanitari)
  7. Gestione degli orari nei quali ogni singolo utente può accedere
  8. Flag privacy sulle anagrafiche che indica se il cliente ha concesso o negato il consenso al caricamento dati
  9. Possibilità di cancellare i dati del cliente (diritto all'oblio) a richiesta eliminandoli fisicamente o quantomeno con la tecnica della pseudonimizzazione se per integrità referenziale non è possibile
  10. Possibilità di estrapolare i dati di ogni singolo cliente qualora ci richieda tutti i dati personali in nostro possesso

I dati sul server

Come abbiamo visto, tutte queste norme servono a tutelare oltre che il consenso dei dati che forniamo all'esterno, anche l'integrità dei dati stessi. Nel modulo di richiesta del consenso, deve essere incluso anche un paragrafo dove indichiamo con quali tecniche intendiamo proteggere i dati che custodiamo.

Solitamente in una azienda i dati vengono custoditi in un server, che deve essere collocato in un locale chiuso a chiave sempre bloccato. Per l'accesso ogni utente deve avere la propria password, che deve essere sicura e deve scadere periodicamente. Se ci sono cartelle condivise che custodiscono dati sensibili devono essere limitate a determinate utenze e non aperte agli utenti "everyone".

Il server deve essere protetto da un antivirus e da un firewall e deve essere dotato di un sofware di backup su dispositivo esterno o su area FTP dei dati sensibili dove devono essere salvati in maniera crittografata e sopratutto da un software di data audit che invii periodicamente email ad un amministratore che segnalino eventuali tentativi di intrusione, qualsiasi variazione di file o cartelle, qualsiasi tentativo continuo di accesso dall'esterno, attacchi DDOS, creazioni di nuovi utenti sul server, cambi di password e soprattutto eventi come il riavvio o lo shutdown. Altri eventi che devono essere segnalati sono i tentativi di disabilitazione dell'antivirus, del firewall, del programma di backup e dello stesso software di data audit

Quali software utilizzare per il GDPR?

Noi utilizziamo alcuni software sui nostri server accuratamente scelti per un discorso costi benefici:

Come antivirus e firewall GDPR compliant utilizziamo Adaware Antivirus Pro, che in un unica soluzione offre antivirus, firewall, antispyware e blocca qualsiasi tentativo di intrusione.

Come software di backup per i dati utilizziamo Ace Backup per una serie di motivi:

  1. Consente il backup pianificato dei dati
  2. Consente il backup su area FTP quindi al sicuro da virus come il Cryptolocker che potrebbe crittografare tutti i dati del server ma mentre puo' farlo su dispositivi fisici collegati al server non può farlo su aree FTP protette da password sicure di accesso.

Per quanto riguarda il log management previsto per la Privacy by design, ci siamo affidati al software Netwrix Auditor che consente il tracciamento di tutte le attività che avvengono sul server sia lato sistema operativo che singole operazioni: è possibile monitorare quindi anche un server sql in cui possono essere custoditi tutti i log in un database che genera in automatico lo stesso software ed espone mediante i reporting services inviando dati periodici all'amministratore.

E'possibile anche configurare una mail che avverta immediatamente in caso di data breach altra cosa importante di cui parleremo in seguito con la possibilità di intervenire quanto prima per arginare l'eventuale attacco, come prescritto dallo stesso garante della privacy.

 

Violazioni di dati personali (data breach): gli adempimenti previsti 

In caso di violazioni di dati personali detti appunto data breaches, il responsabile del trattamento è tenuto ad informare il garante della privacy entro 72 ore dal momento in cui si accorge del danno subìto (e che deve dimostrare, facendo ad esempio dei printscreen del server con l'orario in vista) documentando tutto quanto è successo, i dati che potrebbero essere stati trafugati, cancellati o modiifcati e le azioni fatte per arginare il problema. Le azioni da effettuare dipendono dalla natura dei dati che sono stati compromessi e sono riassunti in questo schema elaborato direttamente dal garante:

adempimenti data breach

 

Per comunicare le violazioni di dati personali al Garante è stato predisposto un apposito modello per la segnalazione delle violazioni GDPR scaricabile direttamente sul Sito del Garante

- Modello destinato ai titolari di trattamento di dati personali effettuati tramite dossier sanitario per la comunicazione dei casi di violazione dei dati personali (data breach)
(Provvedimento n. 331 del 4 giugno 2015)

 - Violazione di dati personali che si verificano nelle banche dati della PA - Modello per la segnalazione al Garante
(Provvedimento n. 393 del 2 luglio 2015)

 - Violazione di dati biometrici - Modello per la segnalazione al Garante
(Provvedimento n. 513 del 12 novembre 2014)

 - Modello destinato ai fornitori di servizi di comunicazione elettronica per la comunicazione dei casi di violazione dei dati personali (data breach)
(*) ISTRUZIONI: Il modello va aperto, compilato e, dopo aver apposto la firma digitale, salvato come un file .pdf sul proprio computer. Infine, il modello va inviato al Garante unicamente tramite posta PEC all'indirizzo: dcrt@pec.gpdp.it.

 

Le sanzioni e responsabilità GDPR: tutto quello che c'è da sapere 

Veniamo alle dolenti note. Tutto quello che abbiamo descritto purtroppo, comporta delle sanzioni per chi non si adeguerà a queste normative entro il 25 maggio 2018. Molti erroneamente pensano che dal 25 maggio 2018 cominci questo iter burocratico, mentre in realtà il 25 maggio è il termine ultimo per adeguarsi!

E' già un bel pò che sono state rilasciate queste norme.

I controlli GDPR vengono fatti da appositi tecnici della Guardia di Finanza che si recano presso le aziende per accertamenti legati esclusivamente al GDPR e possono comportare o meno anche accertamenti di natura fiscale.

Le sanzioni possono variare da una semplice diffida amministrativa fino a 20 milioni di euro. Si parla addirittura del 4% del fatturato mondiale, concetto non molto chiaro.

L'unica delle figure responsabili delle sanzioni amministrative e penali di tutte le figure gdpr che abbiamo visto precedentemente è il titolare del trattamento, che poi eventualmente potrà rivalersi sulle altre figure che lo hanno coadiuvato nella stesura del DPA e nelle altre procedure burocratiche GDPR.

Secondo le Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679 le sanzioni devono essere uguali in tutti i paesi europei

Esse variano in funzione della natura, della gravità e della durata della violazione.

Il numero di soggetti interessati dalla violazione deve essere valutato dalla GDF, al fine di identificare se questo è un evento isolato o sintomatico di una violazione più sistematica o mancanza di routine adeguate in atto.

Questo è non per dire che gli eventi isolati non dovrebbero essere attuabili, in quanto un evento isolato potrebbe ancora influenzare molto soggetti dei dati. Ciò dipenderà, a seconda delle circostanze del caso, da, ad esempio, il numero totale di dichiaranti nel database in questione, il numero di utenti di un servizio, il numero di clienti, o in relazione alla popolazione del paese, a seconda dei casi.

Inoltre, la giurisprudenza emergente sul GDPR e già pratica nel campo della protezione dei dati nell'ambito dell'applicazione della privacy illustrerà nel tempo le circostanze che indicano soglie più chiare per valutare se la violazione era intenzionale o dovuta a superficialità nell'applicazione di queste norme.

Conclusione

In conclusione i passi per adeguarsi al GDPR consistono nell'affidarsi a consulenti esperti per la redazione di tutta la documentazione necessaria e di tutte le misure di sicurezza per evitare sopratutto la perdita e la compromissione dei dati personali che poi come abbiamo visto è la cosa peggiore.

Nel frattempo ovviamente nasceranno nuovi casi di studio che noi monitoreremo ed anche gli avvocati cominceranno a capirne di più in materia in modo da gestire i primi casi controversi che si presenteranno da inizio giugno 2018.

Un altro consiglio per cautelarsi almeno per i primi tempi nell'attesa di capirne di più sull'argomento oltre ovviamente a rispettare la norma, anche stipulare una assicurazione sulla cyber security in modo da contenere i danni derivanti da una eventuale sanzione.