Protezione dei dati: peso o vantaggio?

Protezione dei dati – Peso o Vantaggio?

Le novità del GDPR sono state recepite dalle aziende come complicate e la loro implementazione è stata lunga e fastidiosa. Ma dal momento che si tratta di una legge che prevede sanzioni elevate in caso di inosservanza, i proprietari delle aziende non hanno avuto altra scelta che prendersene cura. Inoltre, hanno dovuto anche assolvere il compito di monitorare regolarmente i processi di protezione dei dati, adattarli continuamente e aggiornarli mediante adeguate misure di sicurezza tecniche e organizzative.

Fotografia: Pixabay.com, copyright by geralt, 1802613, CC0 1.0

Ma la Privacy non è una nuova invenzione e rappresenta, soprattutto per gli utenti e i clienti, una benedizione perché la loro privacy è ora molto più protetta. Tuttavia, è proprio vero che per le aziende la protezione dei dati è soltanto un fastidioso obbligo o porta forse anche dei benefici? E se sì, quali sono?

La privacy è davvero un peso per te?

È comprensibile che per un titolare d’azienda i nuovi obblighi e requisiti del regolamento, implementati con elevati costi e impegno lavorativo possono essere considerati come svantaggi. Dopo tutto, devono essere osservati una serie di obblighi e, soprattutto per il marketing e la pubblicità, ne derivano grosse limitazioni. Infatti, poiché il cliente deve acconsentire ogni singola azione, la raccolta dei dati e la pubblicità non possono più essere eseguite cosi facilmente.

La situazione sarà ulteriormente aggravata dall’introduzione del previsto regolamento e-Privacy che specificherà e regolerà ulteriormente le comunicazioni elettroniche. La situazione quindi è disperata? No, assolutamente! Se pianificato e gestito correttamente, l’e-privacy determina anche dei vantaggi per le aziende.

Quali benefici può trarre la mia azienda da una buona protezione dei dati?

Ridurre i costi e aumentare l’efficienza

Poiché hai già sviluppato un buon concetto di protezione dei dati per implementare il GDPR nella tua azienda, puoi ottimizzare i processi di lavoro che, con l’aiuto del RPD (Responsabile della protezione dei dati) che hai dovuto nominare, sono costantemente monitorati e ottimizzati. Di conseguenza, i tuoi processi possono essere ben modernizzati e costantemente migliorati.

Grazie a processi più snelli ed efficaci possono persino essere ridotti i costi.  Non solo attraverso un lavoro più efficiente, ma anche perché ex dipendenti, concorrenti o clienti non avranno motivi per segnalarti alle autorità di controllo ed esporti al rischio di multe salate.

Proteggi i segreti commerciali e migliora il marketing

Se i tuoi dipendenti sono sensibilizzati all’argomento attraverso una formazione specifica, potrai evitare molti errori sin dall’inizio.

Si aggiunge il fatto che puoi controllare al meglio i  “flussi d’informazioni non autorizzati” e cercare di contenerli al massimo. Conosci anche tu il comportamento dei noti “Whistleblowern” (informatori) che proclamano informazioni politicamente esplosive tramite i media? Simili personaggi possono essere tenuti alla larga, dalla propria organizzazione, con una politica sulla privacy ben funzionante. Solo cosi le aziende potranno anche proteggere i propri prodotti e le informazioni sui clienti e sui dipendenti dalla concorrenza astuta e talvolta sleale.

Soprattutto, se nel tempo ti sei anche costruito un buon management dei dati, avrai sviluppato una elevata protezione dallo spionaggio industriale. In altre parole sei in grado di proteggere i tuoi affari e segreti commerciali.

La gestione del tuo marketing è più complicata? Beh, fino ad ora hai semplicemente raccolto dati generici, ma ora lavori con dati attuali, aggiornati e, soprattutto, realmente utilizzabili. E gli interessati che ti permettono di usare i loro dati sono quelli sui quali puoi concentrare e indirizzare la tua pubblicità con lo scopo di convertirli in clienti.

Costruisci fiducia e una buona reputazione

La corretta gestione e il trattamento conforme dei dati dei tuoi clienti contribuiscono a creare un’immagine positiva della tua azienda. Quindi, non è proprio un vero svantaggio per te, giusto?

Tutti questi punti alla fine, ti permettono di assumere una posizione di fiducia sia all’interno sia all’esterno della tua azienda. Ciò ti garantisce la cooperazione e la fiducia a lungo termine di dipendenti e clienti, come pure di fornitori e partner commerciali.

Tuttavia, il raggiungimento di questo obbiettivo richiede una buona pianificazione strategica, un monitoraggio continuo e opportune ottimizzazioni. Per questo compito complesso spesso il RPD e il titolare si avvalgono del supporto esterno di fornitori di servizi competenti che possiedono già familiarità ed esperienza sull’argomento.

Come puoi portare, nella tua azienda, la Privacy su una buona strada?

Come dimostrano i vantaggi sopra elencati, la corretta gestione della privacy non è solo un peso, ma un’eccellente opportunità per mettere te e la tua azienda in buona luce, sia internamente che esternamente. E la migliorata protezione dei segreti aziendali è comunque molto importante per i tuoi interessi. Certamente non vuoi perdere né prodotti né clienti a favore della tua concorrenza. Ma come puoi proteggerti al meglio?

Dovresti concentrarti su 4 punti

1. Prima di tutto, dovresti esaminare attentamente tutti i flussi di lavoro interni. C’è sempre qualcosa che si può migliorare, sia per la protezione dei dati e del loro trattamento, sia per velocizzare i processi e di conseguenza per risparmiare sui costi. In questo ti possono aiutare i tuoi dipendenti, comunicandoti informazioni su ciò che riscontrano quotidianamente e suggerendoti gli eventuali cambiamenti da implementare. Ovviamente i processi non devono essere migliorati limitatamente ai singoli reparti bensì essere funzionali per tutta la tua azienda.

2. Dovresti quindi aggiornare i tuoi dipendenti in modo che i processi che vorrai cambiare siano interamente compresi e applicati da tutti i collaboratori. Per tale formazione puoi rivolgerti ad esperti che istruiscono il tuo staff direttamente presso la tua azienda e su misura per le tue esigenze.

3. Affinché la privacy influenzi positivamente la tua immagine aziendale, devi rendere pubblico il tuo modello di gestione. Menzionalo sul tuo sito internet, nelle interviste, nei volantini o nelle newsletter.

Fotografia: Pixabay.com, copyright by Madskip, 4341631, CC0 1.0

4. Da ultimo, ma non meno importante, dovresti considerare se adoperi già un buon sistema di gestione dei dati oppure installarne uno migliore. Poiché tanti processi importanti per il tuo sistema di DSMS lo sono anche per il GDPR e l’ atteso regolamento e-privacy, risulterà molto pratico risolvere e implementare, in futuro, tutti i punti contemporaneamente. 

Come possiamo aiutarti ?

Sappiamo quanto, adeguarsi a tutti gli obblighi del GDPR, possa essere complicato e richiedere molto tempo, e per questo, noi di WB Trade-it saremo lieti di assisterti con la nostra esperienza e competenza nel settore.

Il nostro personale competente ti aiuta costantemente con consultazioni e analisi, cosí come con l’introduzione dei nuovi processi, perfettamente adatti alla tua situazione. Inoltre, i nostri collaboratori sono abili ed esperti formatori e potranno istruire il tuo personale in vari settori. Siamo anche il tuo partner giusto per migliorare l’immagine aziendale e, insieme a te, possiamo sviluppare progetti concreti per consentirti di effettuare piani pubblicitari efficaci.

 

GDPR – una volta implementato, tutto a posto?

Fotografia: Pixabay.com, copyright by geralt, 283233, CCO 1.0

Se anche tu hai adeguato la tua azienda ai requisiti del GDPR più o meno puntualmente, allora adesso va tutto bene, vero? Purtroppo, non è così. I principali cambiamenti sono stati sicuramente poco comprensibili, estenuanti o, per alcune aziende, difficili o fastidiosi da implementare e dispendiosi in termini di tempo. Tuttavia, si tratta di un requisito di legge che non può essere evitato. E, anche dopo aver curato con successo l’implementazione, non si si può ancora riposare e occorre restare attenti. Perché è così e a che cosa devi stare attento te lo spieghiamo di seguito. Non pensare che, se hai il GDPR implementato correttamente, per sempre rimarrà tutto cosi e tu possa dormire sogni tranquilli.

La privacy deve essere costantemente aggiornata

Quando hai superato le prime implementazioni e adeguamenti sei, per un certo lasso di tempo, al sicuro. Tuttavia, la tua azienda cresce e, con l’aumentare delle dimensioni, anche i requisiti del GDPR diventano più complessi. Devono essere presi in considerazione più dati di clienti e fornitori, e forse ti occorrono nuovi processi o più collaboratori che se ne occuperanno .

Inoltre, la tecnologia è in continua evoluzione. Perciò, occorre continuamente adeguare i tuoi sistemi IT e i software, si aggiungono nuovi pc o server e, naturalmente, programmi anti-virus sempre aggiornati e misure per colmare eventuali buchi nella sicurezza.

Dovevi già tenere presente tutto questo nella prima implementazione del GDPR o, almeno, organizzarne immediatamente l’adeguamento.  Perciò sei stato consigliato bene se, sin da subito, collabori con un’azienda professionale che si è specializzata nel settore. Infatti, solo un esperto ti può consigliare continuamente e indicare, in tempo utile, i necessari adeguamenti, implementandoli insieme a te.

Contesto dell’adeguamento: articolo 25 GDPR

Il motivo per cui devi sempre essere aggiornato è, ovviamente, che soltanto in questo modo puoi lavorare con efficacia. Inoltre, ciò è espressamente previsto nel GDPR, nell’articolo 25. L’articolo tratta la “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”.

L’Articolo richiede, tra l‘altro, di “tenere conto dello stato dell’arte” affinché il Regolamento possa essere attuato in modo efficace per proteggere gli interessati e soddisfare i requisiti del GDPR.

Ovviamente, lo stato della tecnica sta cambiando nel tempo e, quindi, la tecnologia della tua azienda deve adattarsi costantemente allo stato attuale con nuovi sistemi adeguati o nuovi software e aggiornamenti.

Anche l’organizzazione deve essere adeguata

Infatti, l’articolo afferma anche che, oltre alla tecnologia, devono essere prese “misure tecniche e organizzative adeguate sia al momento di determinare i mezzi del trattamento che al momento dell’effettiva elaborazione”. 

Ecco perché, se necessario, devi cambiare e adattare i tuoi processi o riqualificare i tuoi dipendenti. Non solo il rinnovo del tuo sistema informatico, ma anche i processi di elaborazione e la conoscenza dei dipendenti giocano un ruolo fondamentale nel valutare se la protezione dei dati viene regolarmente osservata.  

L‘articolo 25 GDPR richiede, pertanto, che si adottino continuamente le misure tecniche e organizzative adeguate per garantire che il trattamento sia conforme al Regolamento.  

Quali misure di adattamento sono prescritte?

La legge, sfortunatamente, non menziona quali misure devi prendere. Tuttavia, nel “considerando 78 – misure tecniche e organizzative adeguate” almeno puoi trovare degli esempi. Specificamente menzionata è la pseudonimizzazione, che è anche precisata nell’articolo 4 del GDPR.

Nel considerando 78 è riferito che i responsabili devono prestare particolare attenzione ai principi di “Protezione dei dati per progettazione (data protection by design)” e “Protezione dei dati per impostazione predefinita (data protection by default)”.

Di che cosa si tratta precisamente?

Protezione dei dati by design and by default

Data Protection by design – Protezione dati attraverso la progettazione tecnologica

La protezione dei dati attraverso la progettazione della tecnologia significa che può essere meglio soddisfatta se è già tecnicamente integrata sin dall’inizio (ovvero nel momento della introduzione del GDPR). Quindi devi considerare e pianificare le misure già durante lo sviluppo del tuo concetto di protezione dei dati. Anche in questo ti può aiutare un’azienda specializzata come WB Trade-it e supportarti nella realizzazione, poiché ha l’esperienza necessaria nel settore che, probabilmente, all’inizio ti mancherà.

Data Protection by default

La protezione dei dati con impostazioni predefinite favorevoli alla privacy significa che le impostazioni di base (o le impostazioni IT di fabbrica) sono già molto intuitive, ovvero preparate e progettate in modo facilmente comprensibile. Vale a dire che tutti gli utenti, che sono tecnicamente esperti, dovrebbero essere in grado di effettuare facilmente le impostazioni necessarie.

Quindi quali misure puoi prendere?

Poiché la legislatura ti lascia all’oscuro su che cosa devi fare esattamente, faresti bene ad affidarti all’esperienza e ai consigli di aziende del settore. Il fatto che il legislatore ti lasci un margine per l’esecuzione delle misure è anche un vantaggio. Perché ogni azienda ha il proprio backround individuale. E, ad esempio, come piccola impresa devi prendere misure di sicurezza diverse da quelle di una grande società diversificata.

Il considerando 78 propone per esempio:

  • Pseudonimizzazione di dati personali
  • Offrire Trasparenza per quanto riguarda le funzioni e il trattamento di dati personali
  • Che gli sviluppatori di prodotti utilizzati nel trattamento dei dati personali tengano già conto dello stato dell’arte, in modo che gli utenti successivi possano adempire ai loro obblighi di protezione dei dati
  • Negli appalti pubblichi si dovrebbe prestare attenzione ai principi della protezione dei dati attraverso la tecnologia e le impostazioni predefinite compatibili con la privacy.

 Ulteriori possibili misure

Le altre opzioni possono dipendere dalla tua situazione individuale, ma puoi comunque già pensare a quanto segue:

  • Oltre alla pseudonimizzazione proposta, effettua comunque un’ulteriore anonimizzazione dei dati.
  • Quando acquisti il Software, assicurati che il produttore e lo sviluppatore abbiano già preso in considerazione le tue esigenze, come suggerito nel considerando 78.
  • Introduci l’autenticazione dell‘utente.
  • Progetta e attua tecnicamente il diritto di opposizione ai sensi dell‘art. 21 GDPR.
  • Utilizza i suggerimenti aggiuntivi di altri standard, come per esempio il catalogo di protezione del Bundesamt für Sicherheit in der Informationstechnologie (BSI) oppure quelli dei vari standard ISO.

Tra tutte le misure proposte è necessario considerare anche che l’articolo 25 del GDPR richiede che si considerino i costi di implementazione, la natura, l’ambito, le circostanze e le finalità. È necessario impostarli in relazione ai possibili rischi e alla loro gravità e probabilità di accadimento e quindi determinare appropriate misure.

La valutazione del rischio è una parte molto importante del concetto di protezione dei dati, soprattutto perché l’errata previsione può comportare azioni sbagliate che, alla fine, non possono fornire una protezione adeguata.

Pertanto, siamo lieti di assisterti con il nostro consolidato know-how, competenza e esperienza nel settore. Contattaci per concordare un appuntamento per una prima consulenza.  

Fotografia: Pixabay.com, copyright by TheDigitalArtist, 3443620, CCO 1.0

La protezione dei dati non va in vacanza

Ogni azienda, che in base al GDPR è obbligata ad incaricare un Responsabile per la protezione dei dati, deve prevedere la sua assenza per vacanza o per malattia.

Poiché la Privacy non fa ferie!

Ma che cosa si deve fare in quei casi? E perché è cosi importante che qualcuno sia reperibile?

Regolamento di sostituzione per vacanza

Generalmente, in ogni posto di lavoro va prestata molta attenzione affinché ogni addetto abbia un sostituto e che quest’ultimo sia informato in tempo sui lavori in corso e sui termini/appuntamenti da rispettare.

Poi, ufficialmente ne consegue il passaggio dei lavori che, in base alla grandezza dell’azienda, può avvenire in modo differente. Normalmente, due impiegati dello stesso reparto si riescono a sostituire facilmente. Sono informati dei lavori del collega e ascoltano quotidianamente i casi dell’altro. Quindi, all'interno del team sono costantemente aggironati circa le problematiche e le situazioni particolari. Molte aziende gestiscono la sostituzione per malattia o vacanza in modo che ogni assunto abbia il proprio sostituto fisso, facendo sì che i lavori possano proseguire senza interruzione.

Questo metodo è consigliato anche per la sostituzione del Responsabile per la protezione dei dati (RPD).

Sostituzione del RPD

Purtroppo la figura del Responsabile per la Protezione dei dati può essere ricoperta soltanto da persone con specifiche competenze in materia. L’art. 37 comma 5 GDPR prevede che il Responsabile per la protezione dei dati debba soddisfare alcuni importanti requisiti affinché possa essere incaricato di questo ruolo. Costui deve possedere la qualifica professionale, la conoscenza specifica nella protezione dei dati e l’esperienza specifica in questo ambito, oltre alla capacita di adempire ad ogni compito del suo ruolo. Il sostituto dovrebbe quindi possedere lo stesso profilo professionale. In tante aziende, specialmente nelle piccole realtà, è difficile trovare, tra pochi dipendenti, due collaboratori con lo stesso profilo. Per questo motivo molte aziende incaricano un RPD esterno. Alcune società specializzate possiedono un’ampia quantità di collaboratori competenti che sono in grado di gestire le sostituzioni per malattia o vacanze senza interruzione di servizio.

Perché non gestire il problema dopo le vacanze?

Se un interessato si accorge che qualcosa non va con i suoi dati ed inoltra un reclamo, ha diritto ad rimedio immediato da parte del responsabile. Il Responsabile per la protezione dei dati deve quindi essere sempre raggiungibile da ogni interessato, in modo da potergli subito presentare un problema e richiederne la risoluzione. Tra le varie soluzioni ci sono per esempio:

  • Articolo 16 – Diritto di rettifica dei dati personali inesatti
  • Articolo 17 – Diritto alla cancellazione dei dati personali che lo riguardano

Gli interessati hanno, inoltre, il diritto di porre reclamo all’autorità di controllo (art.77).

Tanti interessati, però, non si rivolgeranno direttamente alle autorità ma cercheranno di risolvere il problema in modo diretto. Sarebbe quindi inopportuno che nella tua azienda non fosse raggiungibile nessun responsabile, costringendo in tal modo l’interessato a rivolgersi direttamente all'autorità di controllo. Fare reclamo all’autorità è tra l’altro facile, tramite modulo facsimile da inviare per mail, raccomandata o consegna a mano.

Che cosa bisogna fare in caso di reclamo?

Poiché i reclami devono essere elaborati subito e i dati sono da correggere o da cancellare immediatamente nel momento in cui l’interessato lo segnala, è indispensabile avere un sostituto in caso di assenza del RPD. Dopo la ricezione di un reclamo, è opportuno verificare la competenza nella gestione dei reclami che, nel periodo di vacanza, a volte è più difficoltosa. Infatti, se durante il periodo di ferie il personale è ridotto alla meta o addirittura l’azienda è completamente chiusa, anche i reparti IT o altri reparti rilevanti non sono reperibili come di consuetudine. Per questi casi è necessario che l’azienda abbia adottato un regolamento di gestione con i processi da seguire. Per il periodo di vacanze, nel regolamento di gestione deve essere integrato il piano di sostituzione. In questo modo è chiaro chi dovrà essere contattato per la cancellazione o correzione dei dati sul server oppure in quale archivio si trovano i Backup da controllare o cancellare.

In mancanza dei requisiti legali: consigli pratici

Nel GDPR non viene descritto, per le aziende, un preciso programma da seguire per la sostituzione per malattia o ferie. Tuttavia, nella pratica si sono consolidate alcune procedure utili. Anche se il regolamento non prevede esplicitamente un sostituto, si tratta della soluzione più semplice e evidente. L’azienda deve quindi formare contemporaneamente il Responsabile per la protezione dei dati e il suo sostituto oppure incaricare due esterni, tramite un’azienda specializzata, oppure reclutare il RPD di un ramo d’azienda collegata. Il sostituto, proveniente da un ramo di azienda della società, ha il vantaggio di conoscere già i sistemi operativi ed ha familiarità con le procedure e processi aziendali. Inoltre, in tal modo si riescono ad abbassare i costi di formazione, e le informazioni aziendali interne e riservate non vengono trasmesse ad estranei.

D'altro canto, non è cosi facile spostare il RPD da un’altra azienda per il periodo di vacanza; inoltre, l’azienda collegata potrebbe essere molto distante e il sostituto responsabile non riuscirebbe ad essere in più luoghi contemporaneamente per controllare e supervisionare i procedimenti.

Come procedi al meglio di fronte ad un reclamo?

Il punto più importante è che tu risponda immediatamente al reclamo. Se ricevi quindi un reclamo, rispondi al reclamante che hai ricevuto la sua notifica e che tu, o chi di competenza, te ne occuperai subito. Nella prima comunicazione non devi necessariamente fornire ulteriori informazioni.

Se il reclamo vi giunge nel periodo di sostituzione per vacanza, e il sostituto non è molto ferrato nella materia, è fondamentale che la persona sia responsabile e riservata e che conosca le documentazioni riguardo alla gestione della privacy. Ciò significa anche controllare regolarmente la posta e le e-mail del RPD ed ottenere, in caso di emergenza, le informazioni rilevanti e sapere dove, per esempio, si trova una lista con gli interlocutori del caso.

Tempo di elaborazione

In base all‘art. 12 comma 3 GDPR hai un mese di tempo per informare l’interessato. Sembra che sia tanto tempo. Ma il reclamo richiede un procedimento accurato e occorre dare o controllare tante informazioni, oltre alla procedura di cancellazione o correzione dei dati.

In effetti, il tempo a disposizione non è poi così tanto!

Se tutto il lavoro deve poi essere svolto da un sostituto che non lo fa di routine, il lasso di tempo a disposizione potrebbe essere anche poco.

Informazione pubblica delle persone interessate

Un reclamo potrebbe riguardare non soltanto un singolo caso, ma una perdita massiva di dati.

Casi del genere, come ad esempio l’accesso o la divulgazione non autorizzata di dati personali, sarebbe un grosso rischio!

In tal caso, devi addirittura informare le persone interessate tramite i mass-media, come giornali o radio, o in altri modi adeguati.

Coinvolgimento del Garante

Inoltre, l’autorità di controllo deve essere immediatamente informata. In questo caso, però, non puoi soltanto dire che c’è stata una segnalazione.

Sarai costretto a spiegare in modo esaustivo l’accaduto, includendo anche un rapporto che spieghi il motivo dell’accaduto e il prospetto delle contromisure che metti in atto affinché non possa più accadere. Per mettere insieme le molteplici informazioni disponibili, anche in situazioni di quotidiana amministrazione, avrai bisogno di diverso tempo. Nel periodo di ferie, raramente le aziende sono preparate a questi casi di emergenza, anche se impiegano un sostituto che, di regola, è meno coinvolto nella gestione ordinaria della privacy.

Anche per questo motivo, affidarsi ad un responsabile esterno è un enorme vantaggio.

Rivolgersi ad un’azienda di servizi che, con esperienza nell’ambito, ti supporti nella gestione e che sappia esattamente che cosa fare rappresenta una soluzione vincente.

I molteplici vantaggi te li spieghiamo dettagliatamente nel prossimo capitolo.

I vantaggi di un RPD esterno

Affinché venga garantito che durante tutto l’anno sia reperibile un interlocutore competente che elabori correttamente i reclami o le richieste delle persone interessate, ricorrere ad un’azienda di servizi esterna si è rivelato nel tempo la migliore soluzione. In particolar modo, ciò dimostra l’efficacia dell’impresa nei periodi di vacanza, chiusura per festività o in mancanza di personale.

Esperti sostituiscono esperti

Soprattutto, noi di WB Trade-it raggruppiamo esperti di ogni settore che possono essere inseriti in ogni reparto d’azienda. Ad una collaborazione di fiducia con una prospettiva di lungo termine, aggiungiamo il know-how specifico e la conoscenza di tutte le strutture necessarie per supportare al meglio il titolare d’azienda.

GDPR è di routine

Mentre per un’azienda i nuovi requisiti del GDPR sono ancora insoliti e eventualmente difficoltosi nell’implementazione, per il team di WB Trade-it si tratta di routine quotidiana.

Reperibilità permanente

Anche noi e i nostri esperti abbiamo bisogno di vacanza. Tuttavia, durante il periodo di ferie, non fermiamo o rallentiamo i servizi perché tutti i nostri esperti sono allo stesso livello d’informazione e perché sono reperibili in ogni momento, grazie a processi collaudati e piani di sostituzione perfezionati.

Accordi dettagliati con il cliente

Concordiamo individualmente, e in base alle esigenze di ogni singolo cliente, i nostri servizi e i piani di sostituzione, cosi come la nomina di un Responsabile per la protezione dei dati esterno.

Infatti, le specifiche esigenze come la grandezza, il settore d‘attività e le richieste specifiche dell’azienda, vengono sempre valutate attentamente e condivise con il cliente finale.

Consulenza individuale

Siamo sempre felici di poterti spiegare, in un colloquio personale, tutte le possibilità di gestione.

Naturalmente supportiamo i nostri clienti non solo nell’adeguamento al GDPR, bensì in tutti gli altri ambiti aziendali.

Protezione dati online e offline

Protezione dei dati online e offline

Protezione dati online e offline

Protezione dati online e offline

Coloro che pensano che la propria Website non serva a niente o comunque di poterne far a meno probabilmente, presi dal panico per il GDPR,  hanno oscurato la pagina. Il motivo: la paura di non riuscire a gestire la protezione dei dati online e offline. Ma può essere questa la soluzione?

Sicuramente no. Anche soltanto per il fatto che la protezione dei dati riguarda non solo i dati online ma anche quelli offline. Pure i documenti cartacei che troviamo sulle scrivanie delle aziende, piccole e grandi, devono essere protetti. Quindi il GDPR ti riguarda sia online che offline. Ma quali sono le cose da rispettare?

Pianificazione dei processi di protezione

Poiché ogni Responsabile opera nel proprio ambito di competenza o di responsabilità, deve adeguare e personalizzare i processi di protezione dei dati e adeguamento al GDPR (art.30). Il miglior modo per farlo è innanzitutto tracciare tutte le tue attività di trattamento dati e annotare almeno una misura di sicurezza per ogni attività. Solo con un piano dettagliato e articolato sei al sicuro in caso di controlli e al riparo dalle sanzioni.

Backup

Affinché i tuoi dati non vadano persi o accidentalmente cancellati, ma soprattutto perché tu non perda i tuoi documenti di clienti, fornitori, istituzioni, autorità di controllo, e per rispettare il tuo obbligo di conservazione dei dati, occorre eseguire frequenti backup.

Che cosa è importante per un Backup?

La protezione dei tuoi dati è indispensabile anche nell’ambito privato affinché tu possa ripristinarli dopo un eventuale computer crash. I Backup sono uno scudo importante contro i “Ransomware”. Tuttavia, anche gli hacker imparano e cosi attaccano prima i backup per poi rubare o distruggere i tuoi dati. Perciò il salvataggio offline dei dati è una buona prassi per evitare gli attacchi.

Una parola chiave, se si parla di Backup, è inoltre il “Disaster Recovery”, cioè il ripristino dei dati in caso di emergenza.

Per tale “desaster recovery” dovresti stabilire, insieme al tuo reparto IT, un piano tecnico e organizzativo. In caso di emergenza, in base a questo piano procedi per ripristinare al più presto la situazione originaria e mantieni in piedi i procedimenti quotidiani e le elaborazioni della tua azienda.

Oltre al ripristino dei dati in caso estremo c’è anche il “Data Discovery”. Suona molto simile, ma significa “scoprire/ritrovare i dati” piuttosto che semplicemente ripristinare. Nello specifico, per “data discovery” s’intende il ritrovamento dei dati, anche nei vari backup, per esempio nel momento in cui un interessato fa valere il diritto di modifica o di cancellazione dei propri dati. Solo se sai esattamente dove trovare tali dati puoi garantire il pieno adempimento al GDPR (art.32).

Presta attenzione anche ai termini di conservazione dei backup che, in genere, sono di circa 5 settimane. In alcuni casi specifici, però, possono essere prolungati i termini. Quindi, già comprendi che devi organizzare molto bene sia la conservazione dei dati attuali sia i dati salvati nei backup, in modo da poter rispettare il diritto dell’interessato alla cancellazione dei dati, alla naturale scadenza dei termini di conservazione (esaurimento delle finalità), e alla loro cancellazione automatica. La dimenticanza di tale procedimento ti espone al rischio di sanzioni.

Programmi Antivirus

Una volta online può accadere che… bang! ti sei beccato un virus o troian che legge o distrugge i tuoi dati. Per evitarli è indispensabile installare un buon software antivirus funzionante che devi tenere aggiornato regolarmente.

Crittografia e trasmissione sicura dei dati

La crittografia dei dati tramite SSL è, in ogni caso, obbligatoria per le pagine Web e le e-mail, e puoi creare i relativi certificati addirittura gratis tramite software disponibili online.

Anche la trasmissione sicura dei dati deve avvenire tramite Software o crittografia. I programmi e-mail spesso hanno già una propria crittografia. Inoltre, presta attenzione se utilizzi dati in Cloud oppure all’utilizzo di programmi come WeTransfer.

Lavorare in Cloud

I sistemi e programmi moderni lavorano in Cloud. Quindi, se preferisci non gestire i vari supporti dati, puoi eseguire i salvataggi anche in Cloud e generare lì i backup. Verifica in ogni caso che il tuo fornitore, nonché il Cloud-Server, si trovi in Europa in modo da essere adempiente con il GDPR. Crittografa tutti i dati che trasmetti e archivi in Cloud.

Concetto degli accessi e permessi

All’interno della tua azienda devi stabilire quali sono le necessità di accesso ai dati per ognuno dei tuoi collaboratori e attribuirgli il consenso d’uso. Questa procedura prevede alcuni accorgimenti:

  • Codice di accesso agli edifici o locali o armadi
  • Permessi di accesso a determinati pc, permesso di accesso a determinati programmi o dati necessari
  • Accesso tramite password ai programmi, attribuito a ogni singola postazione di lavoro.

Anche se hai soltanto una piccola azienda o lavori come Freelance da casa devi assolutamente ricordarti della protezione dei dati!

Sia sul tuo server, sul tuo portatile e sul tuo Smartphone con dati del calendario e indirizzi dei contatti, devi installare un software-antivirus oltre alla password personale di accesso al fine di protegge i dati.

Pensa che, anche nella tua casa o appartamento, famigliari, ospiti o persino ladri  potrebbero visionare i tuoi documenti. Per evitarlo dovresti in ogni caso limitare gli accessi a determinate stanze o luoghi, elettronicamente o perlomeno con un bel lucchetto o una serratura. Armadi per l’archiviazione dei documenti, faldoni e fascicoli dovrebbero essere sempre chiusi a chiave, anche a casa.

Comunicazione sicura – Attenzione ai destinatari di e-mail

Trascurato e subito successo: una E-Mail destinata a più persone… e ognuno di loro può leggere gli indirizzi mail degli altri. Molto molto rischioso, questo campo “destinatari” aperto. Come puoi leggere in un nostro Blog precedente sulle sanzioni, un uomo è stato sanzionato pesantemente perché mandava le mail a centinaia di persone senza oscurare gli indirizzi dei destinatari. Quindi presta attenzione quando invii le e-mail con destinatari multipli e metti tutti in BCC (c.d. copia conoscenza nascosta).

Archiviazione sicura dei dati

Fotografia: Pixabay.com, copyright by kalhh, 979598, CC0 1.0

Se utilizzi dischetti per il Backup o altri supporti per il salvataggio dei dati, devi archiviarli nello stesso modo sicuro, come per i documenti cartacei. I supporti dovranno essere protetti da accessi non consentiti, da furti e perdita e, quindi, anche da hacker e ladri, come pure da danni causati da acqua o fuoco. Informazioni utili al riguardo vengono fornite anche sulle pagine internet del garante o da alcune aziende IT specializzate.

La distruzione sicura

Se non vuoi più utilizzare dei dati, indipendentemente se in formato cartaceo o digitale, devi distruggerli in modo sicuro e conforme, così da renderli irrecuperabili. Per farlo puoi utilizzare dei Software specifici, i distruggi documenti oppure le aziende specializzate nella distruzione documentale (digitale e cartacea).

Osservare l’obbligo di conservazione

L’obbligo di conservazione dei documenti (elettronici e cartacei) fino alla scadenza della finalità, vale non solo per le grandi aziende ma anche per quelle piccole o per i liberi professionisti. Ciò significa che, al termine del lasso di tempo previsto dalle leggi nazionali, i documenti devono essere distrutti. Quindi, alla scadenza dei 10 anni, termine massimo di conservazione per la maggior parte dei documenti fiscali, dovrai occuparti dello smaltimento conforme.

È possibile comunque che il “diritto all‘oblio” entri in conflitto con i termini legali di conservazione. Ecco perché dovrai essere in grado di separare i dati ed eventualmente oscurarli o bloccarli, anche nei backup. In ogni caso, prevale la legge fiscale e i termini di conservazione previsti dal diritto del singolo individuo.

Dopo tutte queste informazioni ti sono comunque rimaste delle domande o dubbi sulla gestione dei dati online e offline?

Noi ti aiutiamo volentieri. Contatta il nostro team di professionisti che, con una prima consulenza gratuita via telefono o e-mail, ti aiutano a capire meglio che cosa fare. 

Requisiti per un sito internet

Requisiti per un sito internet conforme

Chiunque gestisca un sito Internet deve adattarlo conformemente alle disposizioni del GDPR. Da un lato ci sono requisiti vincolanti del nuovo Regolamento, dall'altro ci sono tante altre leggi nazionali da rispettare, come il codice civile, il D.lgs 70/2003, e il codice del consumo, il DPR n. 633/1972.

Quali siti Web sono interessati?

requisiti per un sito internet conforme

requisiti per un sito internet conforme

La protezione dei dati vale per il trattamento dei dati personali. Tuttavia, quasi tutti i siti sono coinvolti – tranne pagine strettamente private che pubblicano per esempio foto di vacanze- anche se non vengono richiesti dati personali. Motivo: ogni visitatore della tua pagina lascia automaticamente la traccia del proprio indirizzo IP e questi sono dati personali!

Quali sono le precauzioni da prendere?

In ogni caso devi spiegare al visitatore del tuo sito web che cosa fai o farai con i suoi dati. Lo devi informare sul termine di conservazione dei dati e gli devi chiedere il consenso a tale trattamento o trattamenti, sia per i Cookie sia per la profilazione o le attività di marketing (Newsletter) etc.  Inoltre, devi garantire che i dati siano tecnicamente e organizzativamente protetti e sicuri da accessi illeciti, furto, danneggiamento da acqua o fuoco etc. Ma vediamolo ora nel dettaglio:

La cosa più importante è la dichiarazione sulla privacy

In base all’art.12 GDPR devi adottare tutte le misure appropriate per fornire, in modo facilmente comprensibile e accessibile per il tuo visitatore/cliente, le informazioni necessarie (Dichiarazione sulla privacy) spiegando cosa farai con i dati raccolti. In più devi informare chi sono eventuali terzi (social media, cookies, plugin, app) ad avere accesso ai dati e quali siano le loro attività. Il tuo obbligo è inoltre informare il visitatore della tua pagina sui propri diritti e come porre divieto al trattamento oppure chiedere la correzione o la cancellazione dei propri dati.

Da dove rilevare la necessaria dichiarazione sulla privacy?

Il GDPR e le leggi nazionali ti indicano, tra l’altro, in che modo e su che cosa informare l’utente, oltre a darti indicazioni sulla memorizzazione e sull’utilizzo. Quindi dovrai implementare, nel tuo sito internet, una dichiarazione con la quale spieghi sia il lato tecnico sia il lato organizzativo del tuo trattamento dei dati. Puoi trovare gratuitamente online tali dichiarazioni, come facsimili, ma ricorda: sono facsimili! Il documento va adeguato alla tua azienda/ attività perché ogni impresa è unica. Le tue decisioni di imprenditore si differenziano da quelle di un collezionista e un Blogger professionista. Importante: dichiara se la tua pagina è collegata a terzi e/o passa dati a terzi come, per esempio, quando hai inserito i bottoni Facebook e simili.

Posso mettere la dichiarazione sulla privacy nelle “Note legali”* o nella pagina “chi siamo”?

Cosa importante: l’utente deve avere facile accesso alla dichiarazione. Quindi è indispensabile denominare la pagina in modo univoco come, ad esempio, “pagina privacy”, e collocarla in un punto ben visibile. Ergo, non puoi “nasconderla” in mezzo ad altri contesti o pagine. Tuttavia, puoi nominare la pagina “Note legali e Privacy”, suddividendo la pagina in sezioni distinte. Generalmente, trovi nel footer il cosiddetto Hyperlink con tutte le informazioni obbligatorie per legge. (*spesso chiamato anche "Impressum")

Importante: spiega all’utente i suoi diritti!

Nella tua dichiarazione sulla privacy dovrai spiegare anche quali sono i diritti del visitatore/cliente della tua pagina Web (art. 12-33 GDPR). Per esempio, che può revocare in ogni momento il suo consenso al trattamento prestato. Quindi spiegagli anche dove e come lo può fare (tramite link, mail o simile) e come può chiedere la cancellazione dei propri dati. 

A te serve il consenso del cliente per i tuoi trattamenti dei dati

Una informazione importante da rendere all'utente è quella sui Cookies che utilizzi per il funzionamento del tuo sito. Il visitatore deve dichiararsi consapevole e d’accordo all'utilizzo, in genere tramite un apposito bottone. Fondamentalmente si deve fare distinzione tra i Cookies tecnici e quelli di profilazione.  I cookie tecnici rendono il tuo sito più funzionale e fruibile. Di questi cookie il tuo cliente deve essere informato ma non deve necessariamente accettarli. Mentre i cookie di profilazione, che tracciano il comportamento o categorizzano i tuoi visitatori, devono essere comunicati e per questi ti serve il consenso dell’utilizzatore. Il diniego al consenso dei cookie di profilazione non può però compromettere l’uso e la visibilità della pagina al tuo cliente.

Simile ai Cookie, anche Google Analytics si comporta come un sistema di Tracking che cattura i dati degli utilizzatori. Il visitatore del sito web va informato anche di questi servizi. Nei tuoi tool di statistica, che analizzano gli indirizzi IP, puoi rendere i dati anonimi e utilizzarli lo stesso. Per questo trattamento però ti occorre un contratto con Google per la gestione dei dati. Nel caso utilizzi la funzione Google Captcha per i commenti degli utilizzatori, i loro dati possono essere letti da terzi. Perciò devi elencare dettagliatamente tutti i fornitori e/o i servizi da terzi che sono collegati al tuo sito web in modo che il tuo visitatore sia informato e possa prestare esplicito consenso!

Lo stesso vale per i plugin dei Social Media. Quando proponi tali bottoni sulla tua pagina internet affinché il visitatore possa raggiungere la tua pagina Facebook direttamente dal tuo sito, devi includerlo nella tua dichiarazione sulla privacy. Anche i social media come Facebook o Twitter creano collegamenti tra il browser del visitatore e i server di loro proprietà. Quindi da lì possono essere visualizzati e salvati i dati del tuo utilizzatore. Lo stesso vale per l’inserimento e/o collegamento dei Video tramite plugin come YouTube, Vimeo o simili. Nel caso tu inviassi Newsletter, inserisci l’informazione che conservi i dati personali dei clienti al fine di inviare periodicamente, alla mail registrata, le tue comunicazioni.  

Misure tecniche – pagina Web crittografata

È molto consigliato di utilizzare pagine Web crittografate, soprattutto se si rilevano dagli utilizzatori dati particolarmente “delicati” o quando si tratta di online-shop o siti Internet con moduli d’iscrizione. Si riconosce le pagine crittografate facilmente perché iniziano, generalmente, con "https" oppure raffigurano, davanti all’url, un piccolo simbolo di lucchetto. La crittografia va gestita tramite la certificazione SSL che, in alcuni casi, puoi ottenere a titolo gratuito.

Checklist

Quindi, controlla prima di tutto i seguenti punti nella tua pagina Web:

  • Dichiarazione sulla privacy
  • Moduli, commenti
  • Newsletter
  • Tools di Statistica
  • Cookies
  • Servizi di terzi, Plugin
  • Informazioni minime di legge nel footer

Conseguenze della non conformità: Avvertenze e/o Sanzioni

requisiti per un sito internet conforme

Fotografia: Pixabay.com, copyright by MIH83, CC0 1.0, 1213043

I suddetti punti sono da affrontare per evitare le sanzioni e il pagamento di multe salate, a causa della tua homepage non conforme al GDPR. Per i gestori di pagine internet privati non ci sono, al momento, pericoli perché le associazioni dei consumatori si concentrano attualmente sui colossi e grandi gruppi aziendali. Ma prima o poi controlleranno anche le pagine delle aziende piccole e dei privati.

Previsioni: sono attese dal regolamento ePrivacy ulteriori restrizioni

Per uniformare e rafforzare il GDPR con le leggi nazionali nell'ambito della telecomunicazione (in Germania TKG eTMG e a livello europeo la direttiva 2002/58/EC Regulation on Privacy and Electronic Communications) e per regolamentare anche i gestori di siti Internet privati è previsto il regolamento ePrivacy. Regolamento che avrebbe dovuto entrare in vigore insieme al GDPR.

Fino a maggio 2019 non si è ancora visto niente del nuovo regolamento ePrivacy e si presume che l’entrata in vigore possa prolungarsi fino al 2020 con un periodo di transito fino al 2022 . Questo nuovo Regolamento dovrebbe anche chiarire meglio e più dettagliatamente la liceità e le condizioni per il consenso al trattamento dei dati (art.6 e 7 GDPR).

Hai ancora delle perplessità o vuoi semplicemente capire se il tuo sito internet riporta tutti i requisiti per un sito internet conforme al GDPR? Contattaci subito. La prima consulenza e senza vincoli e del tutto gratuito!

I concetti di base del GDPR

Il GDPR, da quando è definitivamente entrato in vigore, il 25 maggio 2018, crea ancora confusione. Alcuni punti sembrano essere ancora malcompresi o creano incertezze. Perciò, ecco per te, di seguito, il nostro riassunto compatto dei punti più importanti. Leggi quali sono i contenuti del GDPR da conoscere. I concetti di base del GDPR spiegati punto per punto.

La storia del GDPR

I concetti di base del GDPR

La fotografia: Pixabay, copyright by JanBaby, 2168234, CC0 1.0

La protezione dei dati non è un argomento nuovo, né per la Germania né per l’Europa. Sin dal 1995 esiste la Direttiva 95/46 CE, che era interpretata in ogni Paese a modo proprio modo. Per cui nel 2012 fu elaborata la prima riforma (EU-Datenschutzreform).

Ulteriori annuali modifiche e riforme erano necessarie (particolarmente 2016) prima dell’entrata effettiva in vigore del GDPR, nel 2018. Noi vi spieghiamo i concetti base del GDPR, in internet invece si trovano tutti i regolamenti e le linee guida per la lettura in tedesco e inglese. È presente anche, nella pagina del “European Data Protection Supervisor”, una Timeline riguardo l’introduzione del GDPR.

Motivo e scopo della protezione dei dati

Nel GDPR non vengono protetti prevalentemente i dati ma le persone fisiche e la loro sfera personale. Concretamente l’articolo 1 del GDPR stabilisce che le norme tutelano i diritti e le libertà fondamentali delle persone fisiche, con particolare attenzione alla protezione dei dati personali.

Chi deve proteggere i dati?

Chiunque abbia che fare con i dati personali, o perché li elabora o li salva; quindi ogni azienda che salva dati clienti e/o dipendenti deve adempire al GDPR.  Perciò, l’articolo 2 GDPR stabilisce l’ambito di applicazione materiale, stabilendo che chiunque tratti dati personali deve rispettare il Regolamento. I principi di trattamento sono regolamentati negli articoli 5-11.

Che cosa bisogna fare?

Il Regolamento spiega in modo molto esaustivo a cosa devi stare attento e che cosa devi implementare come, per esempio, le indicazioni indispensabili sulla tua pagina Web (vedi il nostro articolo dedicato) e l’introduzione del Responsabile per la protezione dei dati. Puoi trovare aiuto anche sulla pagina della Camera di commercio oppure nella pagina del Garante.

È importante rispettare e garantire le regole base per il trattamento dei dati come da art. 5 GDPR.

  • Per esempio, devi trattare i dati in modo lecito, corretto e trasparente nei confronti dell‘interessato.
  • Inoltre, puoi utilizzarli soltanto per finalità determinate, esplicite e legittime. I dati acquisiti devono essere limitati a quanto necessario rispetto alle finalità.
  • Devi prestare attenzione affinché i dati siano esatti e, nel caso, aggiornati.
  • La conservazione dei dati è consentita solo per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (esempio: l’esecuzione di un contratto)
  • Infine devi trattare i dati in modo da essere protetti da un trattamento o accesso non autorizzato, dalla perdita o la distruzione. Per questo devi implementare opportune precauzioni organizzative e tecniche.
  • In aggiunta, il responsabile del trattamento deve essere in grado di dimostrare che il Regolamento viene rispettato.

Che cosa sono i dati personali?

L‘articolo 4 del GDPR spiega che cosa si intende per dati personali. Si tratta di qualsiasi informazione riguardante una persona fisica identificata o tramite i quali possa essere identificata. Quindi quei dati che permettono una identificazione diretta o indiretta come per esempio il nome, un numero identificativo, dati relativi all’ubicazione, l’identificativo online, elementi caratteristici della identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Chi è il Responsabile per la protezione dei dati (RPD)?

Il Regolamento (art.37-39) definisce quando si deve incaricare un responsabile per la protezione dei dati, quale status gli deve essere attribuito e quale compiti deve svolgere. Il ruolo del RPD può essere ricoperto da un tuo dipendente interno o da un consulente esterno che ha le competenze e le qualifiche necessarie.

Il RPD sorveglia l’osservanza del regolamento all’interno dell’azienda, collabora e consiglia il titolare e il responsabile del trattamento e coopera con le autorità di controllo. Funge da punto di contatto per gli interessati e le autorità e, se del caso, si occupa di segnalare al Garante una perdita di dati.

Che cos’è la valutazione d’impatto sulla protezione dei dati?

La valutazione d’impatto sulla protezione dei dati, in base all’art. 35, deve essere effettuata se il trattamento dei dati rappresenta un alto rischio per i diritti e le libertà degli interessati, per esempio nell’implementazione di nuove tecnologie o di nuovi metodi di trattamento o a causa della grossa quantità dei dati.

La valutazione d’impatto contiene una descrizione sistematica del trattamento e delle finalità oltre alle misure previste per affrontare i rischi, incluso le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati. Puoi trovare aiuto e alcune Checklist sulle pagine internet del Garante o anche della Camera di Commercio.

Che cosa sono le misure tecniche e organizzative?

i concetti di base del GDPR

La fotografia: Pixabay, copyright by Pixel2013, 4031973, CC0 1.0

L’art.32 GDPR richiede che tu elabori i dati in modo adeguato agli attuali standard tecnologici. Perciò devi predisporti di tutte le misure tecniche che garantiscono un trattamento sicuro.

Poiché, nella tua valutazione d’impatto hai descritto il trattamento, valutato il rischio e stabilito le contromisure, devi ora metterli in pratica. Al riguardo trovi informazioni e facsimili in internet o da aziende esperte del settore.

Mettendo in pratica le contromisure dovrai distinguere il lato tecnico, che viene supportato dal tuo reparto IT (sicurezza server, crittografia, protezione degli accessi, antivirus etc.) dal lato organizzativo, che va implementato tramite la gestione aziendale (gestione dei dati, documentazione, stoccaggio, distruzione etc.).

Esempi:

  • Pseudonimizzazione dei dati e crittografia
  • Controllo dei sistemi sulla capacità e capienza (salvataggio del volume dei dati e della elaborazione)
  • Garantire il recupero dei dati accidentalmente cancellati
  • Regolamenti per gli accessi (fisici e virtuali) alla sala server, ai PC, ai dati e programmi
  • Check di sicurezza: furto con scasso, danni d’acqua e fuoco, attacco da hacker

L’utilità della protezione attiva dei dati

L’utilità della protezione dei dati si riscontra chiaramente nel diritto di ogni cittadino a decidere se i propri dati personali possono essere trattati o no e, per questo, l‘ art. 6 GDPR richiede, che l‘ interessato conferisca il suo consenso al trattamento e, come regolamenta l’art.7, in modo volontario. Inoltre, va ricordato che il responsabile del trattamento deve essere in grado di dimostrarlo.

Agli interessati sono stati concessi, in aggiunta, tanti diritti (art. 12- 23 GDPR): ciò rende il trattamento dei dati trasparente. Gli interessati possono chiedere informazioni riguardo il trattamento, richiedere la correzione, la limitazione o la cancellazione dei propri dati. In più può chiedere la restituzione dei dati personali in formato elettronico (diritto alla portabilità dei dati) oppure revocare il suo consenso al trattamento dato.

Controllo e autocontrollo (Autorità di controllo e Audit)

I responsabili insieme al RPD garantiscono, all’interno della tua azienda, che tutte le regole siano applicate e rispettate. Il RPD o il responsabile del trattamento dei dati collabora con le Autorità e deve segnalare ogni eventuale caso di violazione del GDPR.

I compiti delle Autorità di controllo sono descritti dettagliatamente nel capitolo VI del GDPR (art.51-59 GDPR).

Fatti salvi i controlli dell’autorità, possono essere effettuati controlli in occasione di certificazioni volontarie che attestano la conformità dell’azienda al GDPR. Tuttavia, è bene notare che questa certificazione non ti solleva dalla continua responsabilità per l’applicazione e rispetto del Regolamento. Diverse istituzioni offrono tale certificazione e aziende qualificate eseguono GDPR-Audit.

Attenzione: Le certificazioni, come da art. 42 DSGVO, devono essere effettuate da Istituti di certificazione oppure dal Garante.

Gli Istituti che effettuano una certificazione GDPR, devono essere accreditate per poter rilasciare la certificazione. L’accreditamento avviene nel momento in cui l’Istituto dimostra al Garante di essere indipendente, competente in materia e senza conflitti d’interesse.

I concetti di base del GDPR

sono, se compresi correttamente, facile da introdurre in ogni e qualsiasi attività commerciale. Noi di WB Trade-it ti aiutiamo in modo attivo e trasparente nella concreta implementazione del GDPR nella tua azienda.  

Contattaci subito per una prima consulenza gratuita e senza impegno.

Datenschutzbeaufttragter

5 Falsi Miti riguardo la figura del DPO

La nomina di un DPO (Data Protection Officer) oppure in italiano RPD (Responsabile per la protezione dei dati) crea continuamente confusione nelle aziende. Nonostante la chiara regolamentazione nella sezione IV del Regolamento (GDPR), riscontriamo spesso interpretazioni differenti. Alcuni sostengono “Tutti hanno bisogno del RPD” ed altri sono convinti che “Nessuno ha bisogno di un RPD” – come dire: “Io comunque non ne ho bisogno”. Ma che cosa è giusto e quali altri miti a riguardo ci sono ancora? Vediamo di seguito i 5 falsi miti riguardo la figura del DPO.

1. “Chiunque ha bisogno del RPD” contro “Nessuno ha bisogno del RPD”

5 falsi miti-RPD-Datenschutzbeauftragter

Foto: Pixabay, copyright by Free-Photos, 690084, CC0 1.0

È chiaro che tutte e due le opinioni non possono contemporaneamente essere corrette, e la verità è che nessuna delle due è corretta. Effettivamente, la soluzione si trova in mezzo alle due affermazioni. Alcuni imprenditori sono dell’avviso che la figura del DPO sia necessario soltanto a partire da una certa dimensione d’azienda, altri fissano l’obbligo esclusivamente al numero dei dipendenti. Proprio qui c’è l’errore.

Fatto è che l’azienda deve incaricare un RPD quando “le attività principali consistono nel trattamento, su larga scala, di categorie particolari (art.9 come per esempio l’orientamento sessuale o religioso, dati della salute, etc.) o di dati relativi a condanne penali e a reati”. Ovviamente ha bisogno di un Responsabile per la Protezione dei Dati anche l’azienda che effettua trattamenti che, per loro natura-ambito-finalità, richiedono un monitoraggio continuo e sistematico degli interessati su larga scala (per esempio la videosorveglianza, sistemi di tracciamento, localizzatori, GPS etc.). Un PRD è senza dubbio necessario quando il trattamento è effettuato da un’autorità o organismo pubblico.

La designazione del RPD è un buon esempio per le clausole d’apertura, come trattato in un nostro precedente post.

La legge tedesca prevede l’obbligo della figura del DPO per le aziende che impiegano continuativamente almeno 10 persone nel trattamento dei dati.

2. Noi non abbiamo l’obbligo di nominare un RPD quindi non dobbiamo implementare il GDPR.

Questo pensiero è sbagliato! Il GDPR è valido in tutta Europa e riguarda chiunque elabori dati personali per scopi commerciali e/o economici.

L’adeguamento al GDPR quindi non dipende dall’obbligo di designare un RPD o meno. La valutazione se è necessario adempire al nuovo Regolamento dipende dal luogo in cui si trova la tua azienda, da chi sono gli interessati e da dove questi risiedono. Inoltre, va valutato come e per quale scopo si elaborano i dati personali.

Il RPD è indispensabile se i dati sono trattati da un’autorità pubblica o un organismo pubblico, se si tratta di un monitoraggio sistematico e se si elabora dati particolarmente “delicati”.

3. Il RPD non ci serve, lo facciamo da soli

Spesso si sente ancora dire che l’azienda non necessita assolutamente di un RPD e che qualcuno della propria organizzazione è tranquillamente in grado di coprire tale ruolo e svolgere, in qualche maniera, tutti i suoi compiti.

Anche questo è un credo sbagliato. Se sussistono i presupposti all’obbligo di designazione della figura del DPO, come da art.37 GDPR, il titolare del trattamento è obbligato a pubblicare i dati di contatto del RPD e di comunicarli alle autorità di controllo.

Se non viene incaricato un RPD si rischia una sanzione che può arrivare fino a 10 milioni di Euro oppure il 2% del fatturato globale annuo dell’azienda.

4. “Il RPD deve provenire dall’interno dell’azienda” contro “Il RPD non può assolutamente provenire dalla propria azienda”

Tutte e due sono affermazioni interessanti e tutte e due sbagliate. Non è vera né l’una né l’altra affermazione perché si tratta di una opzione “facoltativa”. Ti è consentito nominare come Responsabile per la Protezione dei Dati una persona capace facente parte della tua azienda. Questa persona deve però essere scelta in base a determinate qualifiche.

È anche permesso incaricare una persona esterna, scelta sensata nel momento in cui non si riesce ad individuare una persona qualificata all’interno della propria azienda. In questi casi si possono trovare aziende specializzate che ti mettono a disposizione e ti affiancano un esperto in materia.

Altra credenza sbagliata è che ogni azienda all’interno di un gruppo deve designare il proprio RPD. Non è necessario, come si legge nell’art.37 GDPR. Il regolamento consente di nominare un’unica persona, basta che sia facilmente reperibile per tutti. A volte questa risulta essere una scelta sensata in quanto limita notevolmente anche la divulgazione di dati aziendali riservati o segreti a persone esterne.

5. La figura del RPD c’è solo allo scopo di guadagnare. Sono tutti uguali. Mi trovo quello più economico

I falsi miti - DPO - Datenschutzbeauftragter

Foto: Pixabay.com, copyright by rawpixel, 3748708, CC0 1.0

Non è una buona idea. Non c’è nulla al contrario se scegli un RPD a buon prezzo oppure se nomini una persona all’interno della tua impresa, dove puoi regolare direttamente l’ammontare dello stipendio. Tuttavia, in base all’art.37 comma 5 GDPR, hai l’obbligo di scegliere il RPD in base a criteri ben precisi:

“Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. 

Ciò significa che non puoi scegliere in base al prezzo ma in base alle capacità e qualifica. D’altronde, un RPD ricopre una posizione importante nella tua azienda e, come imprenditore, sei TU responsabile per le violazioni al regolamento. Quindi, anche per eventuali errori commessi dal tuo “RPD a buon prezzo”. Il fatto di essere particolarmente economico deriva, per la maggior parte dei casi, dalla limitata esperienza e scarsa preparazione. Questa scelta ti può costare molto cara! 

Conclusione

Il Responsabile per la protezione dei dati assume un ruolo molto importante nella tua azienda e perciò dovresti sceglierlo con molta cura. Nel caso si tratti di un dipendente interno, offrigli soprattutto la possibilità di frequentare dei corsi di formazione e di aggiornamento e assicurati che acquisisca la posizione necessaria all’interno della tua impresa, come richiede l’incarico.

La giusta scelta metterà in netto vantaggio la tua azienda; ti tutela da sanzioni salate e dai danni d’immagine e di reputazione, soprattutto nel caso in cui tratti particolarmente tanti e/o delicati dati personali.

 

Desideri ulteriori informazioni? Non sei sicuro se ti serve o no un DPO? O magari vuoi incaricare un tuo dipendente ma non sei sicuro se è conveniente per te?

In ogni caso, contattaci subito. La nostra prima consulenza gratuita ti chiarirà le idee. 

DSGVO

5 errate convinzioni riguardo l’introduzione del GDPR

Il GDPR ha creato tanta confusione e speculazioni, nonostante fosse un tema ben noto dal precedente “codice” della privacy. Tuttavia tu, come tanti altri, ti senti sopraffatto dalla quantità di novità e regole che ora sono da implementare.

Perché il GDPR?

Alcuni si chiedono il perché di tutto questo e a che cosa serve. Ma se pensi a dove girano i tuoi dati personali, ti diventa più chiaro perché nessuno vuole che i dati vadano a finire in mani sbagliate. L’impegno è quindi assolutamente giustificato.

5 errate convinzioni e falsi miti intorno alla introduzione del GDPR

Con l’adeguamento al GDPR si è completamente lasciati soli o no? E con questo pensiero siamo già dentro alle maggiori credenze sbagliate riguardo il nuovo Regolamento.

1. Nessuno mi spiega esattamente che cosa devo fare

DSGVO

La fotografia: Pixabay.com, copyright by TheDigitalArtist, 3233754, CC0 1.0

Ma, non è proprio del tutto cosi. Già il Regolamento spiega, se pur in un italiano burocratico, a chi si rivolge e che cosa si deve fare. Gli obblighi dei responsabili e i diritti degli interessati sono precisamente fissati nel GDPR.

Inoltre, ci sono tante pagine informative su internet dove puoi reperire aiuto da parte dei RPD (Responsabile per la protezione dei dati), dalle autorità di controllo o dal Governo.

Anche la Camera di Commercio offre tante informazioni, aiuti e interlocutori competenti ai quali ti puoi rivolgere se non sai proprio come fare. Tante aziende sono specializzate nell’ambito della protezione dei dati e possono fornirti il supporto di esperti esterni.

2. A me non riguarda il GDPR, coinvolge solo le grandi aziende

Subito dopo le lamentele di non ricevere informazioni e aiuto, ricorre la rinuncia. Tanti pensano che soltanto le grandi aziende, e non anche le piccole e medie imprese o i liberi professionisti, devono adempire al GDPR. Purtroppo è sbagliato perché non dipende dalla grandezza dell’impresa.

Chi si trova nell’ Unione Europea o chi ha una filiale in Europa o chi tratta i dati di cittadini europei dall’estero deve adempire al GDPR. Non importa quanto sia grande l’azienda.

Se anche tu pensi che le piccole aziende non vengono scoperte cosi facilmente, hai pensato male: ogni cittadino può far valere il diritto d’informazione, correzione o cancellazione dei propri dati o può richiederne la limitazione del trattamento.

Inoltre, può porre reclamo al Garante se ritiene che i suoi dati non vengano trattati e/o protetti in modo conforme, indipendentemente da quanto sia grande la tua azienda. Capita anche che, durante controlli aziendali per altri motivi, come per esempio quelli fiscali, venga scoperto “per caso” che gli obblighi imposti dal GDPR non siano rispettati e quindi viene avviata un’indagine o addirittura subito comminato un richiamo o una sanzione.

3. Ho soltanto un’officina meccanica e non elaboro dati personali

Anche questo pensiero purtroppo è sbagliato. In tanti non sono consapevoli del fatto che anche l’elaborazione “passiva”, come il salvataggio dei dati clienti, viene considerato nel Regolamento europeo come trattamento dei dati personali. Questi dati sono utilizzati anche in un’officina meccanica.

Infatti, spesso vengono salvati nome, cognome, indirizzo, data di nascita, patente e libretto di circolazione o fotocopia della carta d’identità, oltre a numero di telefono, mail, targa e, a volte, anche dati bancari.

Tutti questi dati sono personali e il loro utilizzo è regolamentato dal GDPR. Infine non dimentichiamo i dati personali dei nostri dipendenti che trattiamo, elaboriamo, condividiamo e salviamo…

4. Ma quando mai… se facciamo i Backup con regolarità abbiamo fatto il nostro dovere.

Eseguire i backup è già molto buono, ma non basta! In base all’articolo 5 GDPR si stabilisce che la protezione dei dati non riguarda solo il trattamento non conforme dei dati ma anche la perdita, la distruzione o il danneggiamento. Ciò significa che il Backup da solo non ci tutela completamente e non ricopre tutti i nostri obblighi. Ci tutela solamente dalla perdita dei dati.

Quindi, non solo con il backup non sei salvo ma devi anche assicurarti che venga eseguito in modo corretto, che i dati di salvataggio non possano essere letti da persone non autorizzate e che ogni terminale sia provvisto di un proprio backup.

Altrimenti rischi comunque la perdita dei dati su alcuni pc. Soprattutto, puoi salvare i dati personali (anche quelli del Backup) soltanto per il tempo strettamente necessario al fine del trattamento per cui li hai raccolti.

E come la mettiamo con i dati che si trovano apertamente nei nostri uffici?  La protezione dei dati si riferisce anche ai documenti cartacei, email, fax e alla loro corretta conservazione e distruzione.

5. Se qualcuno ci scopre possiamo sempre ancora reagire

DSGVO

La fotografia: Pixabay.com, copyright by TheDigitalArtist, 4084714, CC0 1.0

Le autorità possono in ogni momento effettuare i controlli presso le aziende al fine di scoprire se sono stati rispettati i nuovi regolamenti. Gli articoli 51-59 GDPR spiegano esattamente quali sono i compiti delle autorità. In Germania gli Landesdatenschutzbeauftragten ( RPD del land) se occupano di controllare le aziende private mentre i Bundesdatenschutzbeauftragten (commissario federale per la protezione dei dati) si occupano della sorveglianza delle pubbliche amministrazioni.

Se aspetti fino a quando ti trovi i controllori in casa, hai avuto una brutta idea, perché le violazioni vengono sanzionate con multe molto alte. Anche solo il fatto di non aver adempito alla legge è una violazione grave. Le sanzioni possono, in base all’art.83 GDPR, arrivare fino a 20 milioni di Euro oppure fino al 4% del fatturato globale annuo dell’impresa. Non dovresti rischiarlo!

Non solo, chi arriva per ultimo trova quello che avanza …. trovare, in fretta e furia, un partner esperto e competente che adegua la tua azienda al GDPR può diventare molto più difficile di quanto lo sia già. Quindi meglio prevenire che curare!

Conclusione:

Nonostante i due anni di tempo concessi per l’adeguamento e le numerose informazioni da parte delle autorità, queste credenze sbagliate sono ancora molto persistenti. E si tratta soltanto della punta dell’Iceberg.

Perché non sono affatto gli unici pensieri errati che si riscontrano delle aziende quando si affronta il tema dell’adeguamento dell’azienda al GDPR: grandi falsi miti sviliscono la figura del Responsabile per la protezione dei dati e l’obbligo di nominarlo o meno.

Per informazioni dettagliate leggi la seconda parte del post.

Se invece vuoi attivarti subito… contattaci. Ti aiutiamo sia nell’adempimento sia nel controllo della conformità della tua azienda.

dsgvo

A chi deve interessare il GDPR?

Il GDPR è stato introdotto allo scopo di proteggere tutte le persone fisiche, in modo che i tuoi dati personali vengano elaborati senza che i tuoi diritti e libertà fondamentali vengano attaccati (articolo 1 GDPR).

Tuttavia, la libera circolazione dei dati in Europa non deve essere limitata o vietata.

Ma che cosa significa nel dettaglio e chi si deve adeguare al GDPR? O meglio: a chi è indirizzato il GDPR e chi deve occuparsi del fatto che i dati personali non vadano a finire nelle mani sbagliate?

Informazioni legali: Regolamento (EU) 2016/679 del Parlamento Europeo e del Consigli del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati))

Ogni imprenditore o proprietario di un sito internet è coinvolto

dsgvo

La fotografia: Pixabay.com, Copyright by methodshop, 2964100, CC0 1.0

La notizia che quasi ogni imprenditore o proprietario di un sito internet sia coinvolto nella stressante procedura di adeguamento al GDPR è alquanto choccante e riscontra grande incomprensione. Ma questa è soltanto la logica conseguenza, poiché ogni internet-user o cliente deve essere sicuro che i propri dati personali, indipendentemente da dove li lascia, siano protetti.

Se ti iscrivi a una newsletter gratuita devi lasciare i tuoi dati. Anche gli acquisti nei grandi e popolari online-shop o la registrazione per la partecipazione ai giochi online richiedono dati personali che vorresti non fossero utilizzati, dai proprietari dei siti, per scopi sconosciuti o addirittura trasferiti a terzi.

Perciò, tutte le aziende, pubbliche amministrazioni, online-shop, fornitori di servizi, liberi professionisti, associazioni etc., in tutt’Europa, devono rispettare il nuovo Regolamento. E perché è cosi?

L’ambito di applicazione materiale e territoriale

Se il trattamento dei tuoi dati cade sotto la protezione del GDPR, dall’articolo 2 GDPR “ambito di applicazione materiale” si evince per quale scopo, da chi e come possono essere utilizzati i tuoi dati. L’articolo 3, l’ambito di applicazione territoriale, descrive dove si trova la sede del responsabile del trattamento e/o dove si trova l’interessato. Quindi, da questi articoli si deduce chi si deve adeguare al Regolamento e perché coinvolge quasi tutti gli imprenditori residenti o operanti in Europa.

Quali dati devono essere protetti dal GDPR?

Quando si parla di protezione ci si riferisce sempre ai dati personali ed al loro trattamento automatizzato e non, come recita l’ art. 4 GDPR. Che cosa significa?

Questi dati personali sono tutte informazioni di persone fisiche come te e me, che possono essere abbinati direttamente o indirettamente alla tua persona per identificarti. In questa categoria di dati ci sono, per esempio, nome e indirizzo, indirizzo e-mail, numero di telefono fisso o cellulare, la tua data di nascita, la tua foto o video, le tue coordinate bancarie o i dati del conto corrente, il numero identificativo, la targa di auto o moto, l’indirizzo IP e i cookies.

Chi deve proteggere questi dati e quali sono le eccezioni?

Chiunque tratta (attivo) o salva (passivo) questi dati deve proteggerli come previsto dal GDPR.

Tuttavia il GDPR, per esempio, non si applica se il trattamento dei dati “non rientra nell’ambito di applicazione del diritto dell’Unione” oppure se i dati vengono raccolti soltanto per scopo personale o familiare oppure se le autorità competenti utilizzano questi dati nel corso di indagini.

Per i trattamenti dei dati da parte di istituzioni, organi, uffici e agenzie dell’Unione va applicato il regolamento (CE) n. 45/2001.

In quale territorio vale la legge?

La normativa vale ovviamente in tutta Europa (Art. 3 GDPR). Ciò significa che a ogni trattamento di dati effettuato sotto la responsabilità di un membro dell’Unione europea va applicata la legge locale, anche se l’effettivo trattamento si svolge fuori dall‘EU.

Il GDPR è applicato soprattutto nell’ambito di fornitura merci e/o servizi, come ad esempio quando un cliente europeo ordina un prodotto ma i dati vengono elaborati fuori dall’Unione, oppure un’azienda utilizza il service-hotline o un centro di prenotazione in uno dei paesi terzi con basso costo del personale. O ancora, se si collabora con aziende tedesche che utilizzano i cloud-server collocati e manutenuti fuori dall’Unione Europea.

Se quindi sei un imprenditore con sede e/o filiale in Europa oppure elabori i dati personali di cittadini europei all’estero, la GDPR vale anche per te!

Esempi

Vogliamo rendere più chiaro, tramite esempi che conosci sicuramente già dalla tua quotidianità, ciò che probabilmente suona fin qui molto teorico.

Blogs, pagine internet

Se segui dei Blog, avrai già notato che WordPress salva i tuoi dati ID e user in modo che tu possa essere già collegato la prossima volta che desideri scrivere un commento senza dover immettere nome, e-mail e password. Ciò vuol dire che vengono trattati dati personali e il proprietario della pagina deve comportarsi conformemente al GDPR.

Online-Shop oppure Online-Banking

Ti è chiaro naturalmente che, nel momento in cui ti iscrivi ad una Newsletter gratuita o ti connetti ad un negozio online, sveli i tuoi dati personali come nome, indirizzo, telefono, i tuoi dati bancari e l’indirizzi IP.

App, giochi-online, social media

DSGVO

La fotografia: Pixabay.com, copyright by succo, 628703, CC0 1.0

Prepari online, tramite siti che ti aiutano alla compilazione, la dichiarazione dei redditi? In quel caso hai emesso in rete alcuni tuoi dati molto delicati che non sono destinati a tutti! Lo stesso vale per i tuoi dati WhatsApp, i tuoi dati in Google-Store e del tuo account Facebook-, Snapchat- or Tinder oppure i dati immessi in qualsiasi altro sito al quale ti sei mai collegato. Questi servizi online sono, dalla introduzione del GDPR, accessibili legalmente da utenti che hanno almeno 16 anni in Germania (14 anni in Italia). Altrimenti necessitano del consenso dei genitori o del legale tutore. Forse giochi anche a Lotto online oppure ti sei iscritto in un Casino online? In questi casi, i tuoi dati, il luogo dove ti trovi e i dati bancari sono noti al responsabile del sito e devono essere protetti. Anche Google ti segue e conosce le tue ricerche online.

Notizie, giornali

Anche le pagine di notizie richiedono, in base al GDPR, il consenso ai Cookie per tracciarti. Quindi anche giornali internazionali devono adeguarsi al GDPR perché trattano i tuoi dati, cioè i dati di un cittadino europeo.

A tante agenzie la gestione risulta troppo complicata e quindi può capitarti che appaia la scritta: “nel tuo paese non è disponibile il contenuto di questa pagina“. L’agenzia ti esclude dal servizio per la propria tutela e per incorrere in meno complicazioni.

Documenti cartacei

Spesso non si pensa ai dati personali presenti nelle aziende in forma cartacea. La protezione riguarda tutti i dati personali a prescindere dalla loro forma. Quindi occorre prestare attenzione alla protezione sia dei dati digitali che di quelli in forma cartacea.

Di questi dati fanno parte per esempio anche notizie scritte a mano, lettere o manoscritti, documenti, moduli, foto e cartelle. Addirittura, ne fanno parte i biglietti da visita, registri telefonici, fatture, cartelle del personale, documenti assicurativi, buste paghe e anche i moduli d’accettazione e cartelle cliniche.

Conclusione

Come vedi, spesso i dati personali vengono trattati in modo superficiale. Spesso non abbiamo altra scelta e, se vogliamo tenerci informati o risparmiare tempo, usufruire dei social media o tools digitali, siamo costretti a svelare i nostri dati. Da utilizzatore ti aspetti che chi hai di fronte (responsabile della gestione del sito) tratti con riservatezza i tuoi dati. Da imprenditore, invece, sai quanto possa essere difficile. Ma indipendentemente se sei direttore di un’azienda, blogger, autore oppure proprietario di un negozio online, il GDPR ti riguarda in ogni caso. Proteggi i dati degli altri così come ti aspetti facciano gli altri con i tuoi dati.

Domande o dubbi?

Contattaci per una prima consulenza gratuita e senza impegno!
Ti risolviamo l’adeguamento della tua azienda al GDPR o ti formiamo il tuo personale. La soluzione si trova facilmente – insieme.

DSGVO wer musste schon ein Bußgeld zahlen

Un anno dopo l’implementazione del GDPR – le prime multe

Dal 25.05.2018 è in vigore ufficialmente il nuovo GDPR. Da questo momento in poi sono state fatti numerose reclami riguardo le non conformità nella gestione dei dati. Queste violazioni possono essere sanzionate, in base al GDPR, con un importo fino a 20 milioni di Euro, importo che però fino ad ora non è stato ancora applicato.

Tuttavia, fino ad oggi,  sono state emesse sanzioni per un totale di mezzo milione di euro, come scrive il quotidiano „Die Welt“ in data 12 maggio 2019. L’importo si compone di 81 sanzioni che sono state emesse a partire dalla fine del 2018 e che corrispondono ad una media di 6.000 € circa per singola multa.

Già in gennaio 2019, scrive il giornale Handelsblatt, erano state comminate le prime 41 multe, quindi le successive 40 sanzioni si sono aggiunte in pochissimo tempo.

Le sanzioni per regione

I dati riportati dal giornale “Die WELT” si riferiscono a un sondaggio effettuato in solo 15 Lander, giacché Meclemburgo-Pomerania non aveva partecipato. Ma come si dividono le sanzioni per singolo land?

2 casi provengono da Amburgo (multe: 25.000 Euro)

3 casi con le mute più basse nel land Saarland (multe: 590 Euro)

6 casi sanzionati in Sassonia (multe: 11.700 Euro)

7 casi verificati in Baden-Wurttemberg (multe: 203.000 Euro)

9 casi provengono da Renania-Palatinato (multe: 124.000 Euro)

18 casi accaduti a Berlino (multe: 105.600 Euro)

36 casi, e quindi posto da primato, per la Renania settentrionale-Vestfalia (multe: 15.600 Euro)

Le sanzioni più alte in Baden-Wurttemberg

I 7 casi di Baden-Wurttemberg portano, nel totale, alla somma più alta di multe

emesse. Fatto che dipende dal duro procedimento dell’autorità regionale. In un caso i dati sanitari sono finiti in rete, violazione sanzionata con 80.000 Euro. In un altro caso è stata elevata una sanzione di 20.000 Euro perché in uno dei social network erano state salvate le password di accesso senza cifratura.

Il caso Knuddels

Nell’ultimo caso si tratta della piattaforma Knuddels. Il caso della piattaforma Chat Knuddels ha fatto scalpore perché un hacker era riuscito ad attaccare e pubblicare più di 300.000 dati degli utenti (password, indirizzi E-Mail e pseudonimi). Per tale violazione sono stati fissati 20.000 Euro di multa.

Sanzioni nell’Unione Europea

Non solo in Germania sono state comminate sanzioni: anche i paesi confinati hanno perseguito delle infrazioni e con importi ben più alti della Germania.

Multe alte in Portogallo

Decisamente più alta è stata la sanzione per un ospedale portoghese che ha dovuto corrispondere 400.000 Euro perché i tecnici avevano accesso ai dati dei pazienti! Accaduto in ottobre 2018, si tratta quindi di uno dei primi casi, in Europa, con una pesante multa.

Le circostanze descritte dal quotidiano FAZ: come accusa l’autorità di controllo CNPD, nell’ospedale Barreiro Montijo a Barreiro, nei pressi di Lisbona, troppe persone avevano accesso ai dati personali dei pazienti. Perciò, il personale IT poteva visionare dati destinati soltanto allo staff medico.

Durante un controllo, l’autorità ha verificato che si poteva molto facilmente creare un finto profilo medico con autorizzazione di accesso ai dati dei pazienti. Il fatto è emerso perché nell’ospedale lavoravano 296 medici ma risultavano 985 accessi d’utenti attivi.

L’ospedale si è giustificato dicendo che si trattava di profili temporanei e ha fatto ricorso contro la sanzione.

Caso spettacolare in Francia

Il gigante nell’internet Google viene già da tanto tempo accusato di raccogliere dati personali e di venderli a terzi. Ora, dopo l’introduzione del GDPR, l’autorità di controllo francese CNIL ha sanzionato pesantemente la società con 50 milioni di Euro. Google ovviamente ha fatto obiezione alla sanzione.

La “Die Zeit”riporta che Google non rende, all’utilizzatore, abbastanza facile l’accesso alle informazioni sull’utilizzo dei dati e sul luogo e tempo di conservazione. Le informazioni sono sparse sui vari documenti, link e bottoni, oltre ad essere formulati in modo non comprensibile e, effettivamente, non risulta essere trasparente per l’utente l’utilizzo dei propri dati personali.

L’autorità ha quindi dedotto che Google non utilizza un valido consenso al trattamento dei dati e per l’annuncio di pubblicità personalizzata. Inoltre, non è chiaro per l’utilizzatore quali servizi Google (Google Maps o YouTube) siano ulteriormente coinvolti nella ricerca su internet.

Sanzioni anche per persona privata!

Tanti procedimenti sono stati avviati per mail pubblicitarie illecite e mailing con destinatari visibili. Anche l’utilizzo non regolare di Dashcams è stato perseguito con riferimento al GDPR. La maggior parte dei procedimenti vengono avviati a causa alle segnalazioni da parte degli interessati.

Uno dei  casi più spettacolari si è verificato in Merseburg, land Sassonia-Anhalt, come riporta il quotidiano Mitteldeutsche Zeitung il 13.02.2019. Qui è stato condannato un cittadino al pagamento di 2.000 Euro oltre alle spese del procedimento giudiziale perché aveva mandato, tra giugno e settembre 2018, diverse e-mail con gli indirizzi e-mail visibili a tutti i 150 destinatari.

Come contenuto delle e-mail risultavano reclami e diffamazioni, ma anche denunce. Il contenuto stesso non violava il Regolamento. L’accusato si difendeva basandosi sulla “libertà d’espressione”, diritto che però non prevede la divulgazione delle e-mail dei destinatari, come ha spiegato al quotidiano il DPO del Land Sassonia-Anhalt, Signor Bose.

Tuttavia, l’accusato non ha imparato la lezione perché sta continuando a inviare quotidianamente le sue e-mail con fino a 1600 indirizzi di destinatari visibili.

Conclusione

La protezione dei dati viene presa sul serio, tuttavia si evince dai casi sanzionati che ci sono ancora alcune grosse aziende, servizi internet o persone private che trattano i nostri dati personali senza alcuna precauzione e in maniera non conforme alla legge. Un aspetto positivo, invece, è che i cittadini si avvalgono ai loro diritti e si oppongono all’uso illecito.

Resta quindi da sperare che le autorità di controllo continuino a perseguire i casi di violazioni e che tutelino i cittadini. Le elevate sanzioni dovrebbero aiutare a sensibilizzare le aziende a questo importante tema della protezione dei dati.