sito web conforme al GDPR

Come adeguare il sito web al nuovo regolamento GDPR

È ora di dire basta ai siti web non conformi al GDPR che vi espongono al rischio di elevate sanzioni!

Il sito WEB aziendale ormai è diventato un “must have” per ogni attività, a prescindere dal settore e dalla dimensione dell’impresa.

Quasi tutte le aziende dispongono, infatti, almeno di una pagina internet con la quale promuovere i propri prodotti e servizi e informare il pubblico sulle attività aziendali.

Si tratta di un vero e proprio biglietto da visita elettronico, una vetrina virtuale che rappresenta l’azienda e permette, tramite i motori di ricerca, di entrare in contatto con i propri clienti.

E, proprio come la vetrina di un negozio, anche il sito web aziendale dovrebbe essere curato in ogni aspetto ed offrire ai “passanti” la miglior immagine aziendale.

Purtroppo, la maggior parte dei titolari presta attenzione solo ad alcuni dettagli di carattere commerciale, tralasciando di curare alcuni fondamentali aspetti tecnici di sicurezza, obblighi di legge e prescrizioni del GDPR.

Infatti, rileviamo pagine internet con una grafica accattivante e ricca di immagini, piene di collegamenti ai social network (Facebook, Twitter, Linkedin etc) che offrono la possibilità di acquistare prodotti, commentare o ricevere newsletter e tante altre funzioni avanzate.

Nonostante l’intervento di agenzie specializzate o di professionisti esperti in questioni legali, anche le pagine più belle, e probabilmente più visitate, presentano alcune gravi lacune: requisiti di legge ignorati, violazioni alla privacy ed al GDPR, lacune tecniche che determinano possibili attacchi informatici.

Tutto ciò rappresenta un rischio enorme ed espone l’imprenditore e l’azienda a perdita di dati (e di affari) ed elevate sanzioni e danni di immagine.

Con questo articolo cerchiamo di chiarirvi un pò le idee a riguardo:  vi spieghiamo quali sono gli aspetti da tenere in considerazione per adeguare il vostro sito Web, quali sono i rischi da evitare e quanto possono essere alte le sanzioni previste per le violazioni alle normative vigenti in materia.

SITO WEB A REGOLA D’ARTE

L’utilizzo di una pagina internet è un ottimo strumento per presentare i propri prodotti e servizi a una vasta platea di clienti, migliorare l’immagine aziendale e dare maggiore visibilità al proprio brand nel mercato.

Inoltre, cosa fondamentale per ogni impresa, con un sito web ben strutturato è possibile mettere in risalto tutte le caratteristiche che rendono unica un’azienda e la differenziano dai concorrenti, come le capacità professionali, la qualità dei prodotti e la competenza nel settore in cui si opera.

Per questo, spesso si pone il focus su ciò che si desidera comunicare e vendere, impiegando notevoli risorse per rendere il sito web accattivante e attrarre le visite degli utenti: si utilizzano bellissime immagini e video, si fornisce una descrizione professionale e dettagliata dell’attività e, magari, si offrono prezzi speciali e condizioni di pagamento e consegna estremamente favorevoli.

L’azienda dispone così di un bellissimo “biglietto da visita” ma che, purtroppo, nella maggior parte dei casi, a causa di errori o omissioni espone l’imprenditore al rischio di elevate sanzioni.

ELEMENTI FONDAMENTALI PER UN SITO WEB CONFORME

Quali sono gli obblighi che un titolare d’impresa deve rispettare nel momento in cui pubblica online la pagina Web aziendale?

Da dove derivano, a chi sono rivolti, di cosa si tratta e come si controlla la conformità alle normative?

Come abbiamo detto, il sito web rappresenta la vetrina virtuale dell’azienda e, per questo, un utente deve poter

  1. identificare facilmente i dati anagrafici dell’azienda
  2. comprenderne gli aspetti amministrativi che ne regolano l’attività
  3. ricevere garanzie relative ai propri diritti
  4. accedere ad un sito che tecnicamente garantisce la massima sicurezza

1. DATI ANAGRAFICI

Chiunque vorrebbe conoscere l’esercente al quale si rivolge, prima di effettuare un acquisto; non solo, anche nel caso di una semplice richiesta di informazioni, il consumatore vorrebbe poter valutare la fonte alla quale si rivolge.

Per questo, un sito web deve fornire al visitatore i dati ANAGRAFICI dell’azienda (ragione sociale, natura societaria, indirizzo della sede ed estremi di contatto, titolo o qualifica professionale, capitale sociale etc).

I dati obbligatori da indicare nel sito, variano a seconda della natura societaria e dell’attività svolta dal titolare della pagina web

2. ASPETTI AMMINISTRATIVI

Il codice fiscale o il numero di partita IVA, l’iscrizione al REA, al Registro delle Imprese, alla Camera di Commercio e ad un albo professionale, abilitano l’azienda alla conclusione di transazioni di carattere commerciale.

Inoltre, l’adesione a specifici codici di condotta e il riferimento a normative professionali di categoria, consentono all’utente di valutare la professionalità dell’impresa con la quale intende relazionarsi e concludere affari.

3. DIRITTI dell’utente

Prima di concludere qualsiasi transazione, l’utente vorrà certamente conoscere i propri diritti: recesso, garanzia sui prodotti, tutela dei propri dati personali etc.

Per questo, ogni sito web deve contenere indicazioni chiare sulle finalità e modalità di trattamento dei dati personali, sulla possibilità di esercitare i propri diritti, sui termini di applicazione di garanzie contrattuali ed extracontrattuali.

Tra le tante informazioni obbligatorie, che variano a seconda dell’azienda, dovrebbero sempre essere indicate le Condizioni Generali, l’informativa privacy ed i moduli di conferma del consenso al trattamento, le modalità di contatto di Titolare e Responsabile del Trattamento dei dati e del Garante per la tutela dei diritti del consumatore.

4. SICUREZZA informatica

Accedere ad un sito tecnicamente non sicuro espone l’utente a rischi enormi. Il furto dei dati personali, degli estremi della propria carta di credito o, semplicemente, del proprio identificativo utente (meglio noto come “nome utente” o “user id”) e della password, sono all’ordine del giorno ed è la principale causa dell’abbandono della visita ad una pagina internet ritenuta non sicura.

A nessun imprenditore farebbe piacere vedere il proprio negozio sempre pieno di clienti che, all’improvviso, escono dal negozio spaventati e senza aver acquistato nulla.

Allo stesso modo, garantire agli utenti del sito web un’esperienza di visita (e di acquisto!) coinvolgente e sicura, è il miglior modo per ottenere vendite aggiuntive e clienti fedeli che ritornano!

Per questo, l’utilizzo di cookies, il certificato SSL, i plug-in di sicurezza dovrebbero essere sempre presenti in un sito web che si rispetti.

Le normative in materia sono molteplici e l’esperienza di un buon tecnico informatico spesso non sono sufficienti per realizzare un sito web conforme ai requisiti legali e sicuro dal punto di vista tecnico.

Occorrono competenze legali, amministrative e tecniche ottenibili solo attraverso l’intervento congiunto di più professionisti o di agenzie altamente qualificate.

RISCHI DA EVITARE

Offrire prodotti e servizi caratterizzati da un ottimo rapporto qualità/prezzo è il primo passo per ottenere clienti soddisfatti.

Occorre offrire una esperienza di acquisto unica e irripetibile, che susciti nei clienti la sensazione di essersi rivolti ad un’azienda di veri professionisti, che curano tutti gli aspetti della relazione: dalla qualità dei prodotti, al prezzo, alla comunicazione e all’immagine!

Il sito web aziendale è il primo fondamentale elemento di valutazione della relazione con i consumatori.

Ottenere clienti fedeli che ritornano e acquistano di nuovo, tuttavia, è tutt’altra storia.

L’utente che visita il sito web percepisce immediatamente la professionalità dell’azienda alla quale si sta rivolgendo.

Si tratta di esperienze inconsce, che sfuggono alla razionalità ma che lasciano il segno e predispongono l’utente all’acquisto… o all’abbandono!

Nel progettare un sito web occorre quindi tenere sempre in considerazione il contenuto del messaggio che si vuole trasmettere (informazioni prodotto, offerte speciali, condizioni di acquisto), l’immagine globale della propria azienda (loghi, caratteri, formati, elementi multimediali etc), i processi di navigazione (registrazione utente, bottoni di invito all’azione, modalità di trattamento dei dati etc).

Trascurare di curare i dettagli anche di uno solo degli elementi sopra descritti può determinare la perdita del cliente e un danno di immagine, per l’azienda, che difficilmente si riuscirà a recuperare!

E allora, perchè vanificare gli sforzi e le risorse impiegate?

SANZIONI PER NON CONFORMITÀ

Chiunque pubblichi un sito web, sia un privato che un’azienda, è tenuto a rispettare, in diversa misura, i requisiti di legge.

Ignorare o tralasciare di uniformare le proprie pagine internet alle prescrizioni previste dalle normative vigenti può costare molto caro!

Ad esempio, rileviamo spesso la mancanza dell’indicazione della partita IVA sulla home page del sito web. Tale obbligo vale per tutti i siti Internet commerciali, non solo per le pagine di e-commerce. Quindi anche i liberi professionisti, artigiani, piccole-medie-grande aziende sono tenuti ad indicare il numero di partita IVA attribuito alla propria attività.

L’agenzia delle Entrate con la risoluzione 60 del maggio 2006 afferma: “Il numero di Partita Iva, attribuito dagli Uffici dell’Agenzia a quanti intraprendono l’esercizio di impresa, arte o professione nel territorio dello Stato, deve essere indicato nella home-page del sito web anche nel caso in cui il sito venga utilizzato per scopi meramente propagandistici e pubblicitari, senza il compimento di attività di commercio elettronico”

La sanzione, in caso di omissione, va da un minimo di € 258 fino ad un massimo di € 2.065.

Un altro obbligo, introdotto nel 2009 con il recepimento della legge comunitaria 2008 (art.42 legge n.88/2009) impone alle società di capitali, di fornire alcune informazioni anagrafiche (leggi sopra!) come la sede sociale e il numero di registrazione all’ufficio del registro delle imprese, il capitale sociale (somma effettivamente versata) etc.

In caso di omissione delle informazioni sopra descritte, ai sensi dell’art.2630 Codice Civile, si rischia una sanzione amministrativa che va da € 206 fino a € 2.065.

Inoltre, con l’entrata in vigore del Codice privacy (d.lgs.196/2003) si è aggiunto l’obbligo di fornire un’idonea informativa ai visitatori della propria pagina internet.

La sanzione, in caso di omissione o di non idoneità dello scritto (art 161 Codice), può variare da € 3.000 fino a € 30.000.

Sanzioni severe con il nuovo regolamento – GDPR:

Con l’introduzione del GDPR, a maggio del 2018, le nuove normative europee hanno reso la gestione di un sito web ancora più complessa.

Per questo, è molto importante conoscere tutti gli obblighi di legge da rispettare o affidarsi ad un consulente esperto poiché le sanzioni previste dal GDPR sono molto severe!

Infatti, le sanzioni possono arrivare ai 20 milioni di euro o al 4% del fatturato globale annuo!

Va anche detto, che un sito Web è accessibile a tutti e, in quanto tale, è facilmente verificabile: è quindi un’ottima base per un controllo veloce, da parte delle autorità preposte, sulla conformità di un’azienda e di conseguenza fonte di sanzioni “facili”. 

Consigliamo, inoltre, di non fidarsi ciecamente dei plug-in, per la maggior parte a pagamento, che promettono di risolvere tutto ma che non sollevano il titolare da alcuna responsabilità!

Responsabilità:

Come già menzionato sopra, i plug-in forniscono un servizio generico a pagamento senza offrire alcuna garanzia di conformità.

Inoltre, anche i Web Master, per la maggior parte dei casi, non disponendo di competenze specifiche in ambito legale, amministrativo e nella gestione e protezione dei dati, garantiscono un servizio “tecnico” generalizzato.

Ciò vale a dire che anche i migliori esperti informatici sono in grado di realizzare siti web tecnicamente molto funzionali e accattivanti, ma non possono sollevare il titolare dalle responsabilità relative agli obblighi legali di cui abbiamo finora ampiamente parlato.

Per questo consigliamo sempre di rivolgersi a professionisti altamente specializzati sia in tematiche legali che di sicurezza IT e di protezione dei dati.

Ricorda che il legale responsabile è sempre il titolare della pagina Web!

SITO WEB CONFORME IN 4 MOSSE

Di seguito vi forniamo alcune fondamentali informazioni in base alle quali potete già fare un primo check-up del vostro sito.

L’elenco è puramente indicativo e non esaustivo, tuttavia vi consente di effettuare una prima verifica degli errori di conformità più diffusi sul web!.

Se riscontrate che anche soltanto un tassello ancora manca e desiderate risolvere tutte le eventuali criticità, richiedete subito una VERIFICA GRATUITA DELLA CONFORMITÀ del sito web!

Tempo richiesto: 3 minuti.

COSA DEVE CONTENERE UN SITO WEB CONFORME AL GDPR

  1. DATI ANAGRAFICI

    Ragione sociale, natura societaria, indirizzo della sede ed estremi di contatto, titolo o qualifica professionale, capitale sociale etc

  2. DATI AMMINISTRATIVI

    Codice fiscale o numero di partita IVA, l’iscrizione al REA, al Registro delle Imprese, alla Camera di Commercio e ad un albo professionale, adesione ad un codice di condotta.

  3. DIRITTI DELL’UTENTE

    Diritto di recesso, garanzia sui prodotti, Condizioni Generali, informativa privacy e moduli di conferma del consenso al trattamento, modalità di contatto di Titolare e Responsabile del Trattamento dei dati e del Garante per la tutela dei diritti del consumatore.

  4. SICUREZZA INFORMATICA

    Utilizzo di cookies e check box di conferma/verifica, certificato SSL, plug-in di sicurezza, sistemi di pagamento sicuri etc.


L’elenco è puramente indicativo e non esaustivo, tuttavia vi consente di effettuare una prima verifica degli errori di conformità più diffusi sul web!.

Iniziate subito a verificare la conformità del vostro sito web o richiedete ora il supporto GRATUITO dei nostri esperti!

L’adeguamento al GDPR e alle altre norme in vigore in materia non è un’opzione ma un obbligo.

La responsabilità penale e civile è sempre e soltanto del titolare della pagina Web.

Le possibili sanzioni sono notevolmente aumentate con l’entrata in vigore del GDPR.

I plug-in, i servizi generici e il copia-incolla di un testo standard sono “nice to have” ma non vi garantiscono la conformità legale e non vi tutelano da sanzioni.  

Affidate questo lavoro di adeguamento a veri professionisti del settore, con la stessa attenzione che avreste per la creazione del sito, per la produzione del vostro miglior prodotto, per la cura della vostra sede o per la riparazione della vostra autovettura!

10 importanti misure di protezione per un buon adeguamento al GDPR

Per ogni azienda arriva inevitabilmente il punto in cui deve essere conforme al GDPR. Nuove Start-up e fondatori di società appena costituite si trovano ora, molto tempo dopo l’introduzione del GDPR, di fronte al problema della sua implementazione, che altri hanno già superato. Ma come approcciare al meglio l’argomento?

Foto: Pixabay.com, copyright by Stephan1982, 1894351, CC0 1.0

Come procedere al meglio con l’adeguamento?

Se ti trovi di fronte al compito di rendere i tuoi processi aziendali conformi al GDPR ti chiederai da dove cominciare e dove finire. Il problema è che non esiste una checklist onnicomprensiva che tenga conto di ogni piccolo dettaglio e che si applichi automaticamente ad ogni azienda.

Invece è importante, dopo un’approfondita analisi delle tua attività in azienda, trovare le misure di protezione adeguate e commensurate alla tua azienda. Ad esempio, le grandi aziende, con molteplici ingressi, devono pensare ad una protezione diversa rispetto a un libero professionista che lavora in un piccolo ufficio o da casa, con una sola porta d’ingresso. Analogamente, si deve usare lo stesso orientamento per ogni singolo reparto interessato.

Di seguito abbiamo elencato le 10 più importanti misure che devi necessariamente prendere in considerazione nella pianificazione della tua protezione dei dati. A proposito delle misure ci sarebbe da dire molto di più di quanto consenta questo articolo che, perlomeno, ti offre una panoramica delle cose più importanti a cui dovresti pensare.

La lista, sfortunatamente, non può essere esaustiva. Sentiti libero di contattare il nostro team di WB Trade-it per concordare un appuntamento per una prima consulenza. Potremo definire, congiuntamente, un progetto di adeguamento, con tutte le misure di sicurezza da seguire, su misura per la tua azienda.

MTO – misure tecniche e organizzative – art. 32 GDPR

Il fatto che sia necessario adottare delle misure tecniche e organizzative è regolato dall’articolo 32 del GDPR. Nell’articolo vengono menzionati per esempio la pseudonimizzazione, la cifratura, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, la capacità di ripristinare i dati, la documentazione per iscritto e il controllo regolare.

Le misure tecniche in questo contesto riguardano tutte le misure “fisiche” come per esempio:

  • Regolamentazioni di accesso (recinzioni, protezioni strutturali, protezioni per finestre e porte)
  • Sistemi di allarme
  • Specifiche indicazioni tecniche per la password e la sua complessità
  • Protezione aggiuntiva tramite identificazione (dati biometrici)
  • Pseudonimizzazione e crittografia dei dati personali
  • Impostazione e protezione degli account dell’utente
  • Creazione di registri di accesso automatici

Inoltre, esistono anche misure organizzative che fanno riferimento alle istruzioni procedurali e alle istruzioni del personale. Di questi fanno parte per esempio:

  • Il principio a quattro occhi per un controllo multiplo
  • Requisiti per la registrazione dei visitatori
  • Politiche che regolano la gestione, l’accesso e l’uso dell’IT, di Internet e dei dispositivi mobili
  • Istruzioni per lo smaltimento dei documenti conforme alla privacy
  • Impegno di riservatezza

10 importanti misure

Regolamento – Password

È molto importante, e anche piuttosto comune in ambiti privati, proteggere il PC con una password. Il tuo reparto IT può installare un programma che imposta i requisiti minimi che deve avere una password (quanti caratteri o simboli speciali) e a quali intervalli deve essere cambiata la password. Inoltre, questi programmi fanno sì che le password già utilizzate non possano più essere impiegate.

Regolamento – accesso fisico

Ciò include il controllo e la determinazione di quali persone hanno accesso a quali edifici o stanze, come, per esempio, nella sala server. In aziende piccole con soltanto una porta di ingresso, nella quale lavorano solo una manciata di persone in un ufficio unico e dove non esistono tante altre stanze, può capitare facilmente che questa misura di sicurezza venga dimenticata. In queste aziende, è molto comune che ognuno si muova liberamente e ovunque.

Regolamento – accesso virtuale

Questa misura prevede che tu specifichi necessariamente chi può accedere a quali dati. Non tutti dovrebbero essere in grado di accedere a qualsiasi PC e non tutti i computer dovrebbero avere installato lo stesso software. Un dipendente di produzione non deve avere la possibilità di accedere ai dati personali dei dipendenti, anche perché non ha il programma necessario o perché non ha le credenziali per accedere. Questo può essere regolato dal tuo reparto IT con l’installazione di diversi programmi per ogni pc e con il piano di autorizzazione degli accessi ai diversi dati.

Archiviazione dei dati

I tuoi dati (file elettronici e cartacei) devono essere archiviati secondo specifiche indicazioni e conservati per l’utilizzo quotidiano. Le persone esterne all’azienda non devono poter accedere ai dati per nessun motivo, mentre il personale interno può farlo solo secondo necessità e con opportuna autorizzazione. Qui entrano in gioco gli armadi chiudibili a chiave e a prova di fuoco, oltre a un buon firewall e programma di anti-virus per la protezione elettronica.

Regolamento – visitatori

Deve essere definito esattamente chi può accedere alla tua azienda, quando, dove e come si svolge la visita. I visitatori dovrebbero essere ammessi solo dopo la registrazione, accompagnati da personale addetto e avere accesso solo a determinate aree.

Limitazione dati

Devi determinare quali dati ti servono per lavorare. I dati non importanti non vanno nemmeno richiesti ai clienti e o fornitori e, di conseguenza, neanche archiviati. I dipendenti devono, inoltre, controllare con regolarità quali dati possono essere distrutti e/ o eliminati. Puoi lavorare in modo efficace soltanto se tutti i tuoi dati sono aggiornati.

Controllo degli elaboratori di dati personali

Se devi inoltrare i dati personali a fornitori di terze parti per un’ulteriore elaborazione, dovrai concordare in che modo procedere con la trasmissione dei dati. In particolar modo, questo controllo include l’esame della conformità al GDPR e la stipula di un contratto per l’elaborazione, come previsto nell’articolo 28 GDPR. Inoltre, anche i regolamenti e la conservazione dei contratti devono essere regolati da te.

Regolamento – Video-sorveglianza

Attraverso la video-sorveglianza raccogli e memorizzi informazioni personali. Per questo è necessario il consenso degli interessati. Perciò devi regolamentare precisamente dove posizioni le videocamere, in che modo e dove informi i tuoi dipendenti, i visitatori e i clienti che vengono ripresi, e per quale motivo e per quanto tempo conservi di dati.

Regolamento – caso emergenza

In caso di danni causati dall’acqua o da un incendio, ma anche in caso di interruzioni di corrente, i tuoi dati potrebbero essere in pericolo. Hai sicuramente bisogno di un piano di emergenza, e devi definire in anticipo cosa fare in caso di violazione dei dati (databreach). Anche senza evocare simili scenari drammatici, un piano di emergenza deve regolare anche la reperibilità delle persone incaricate per un eventuale contatto. Deve essere chiaro chi, quando e come è raggiungibile e come è in grado di fornire informazioni. A tutto ciò si aggiungono, inoltre, i dati di contatto delle autorità o degli interessati per lo scambio di informazioni e il regolamento IT: vale a dire, chi può ripristinare i dati e come?

Regolamento- distruzione dati

La distruzione dei dati necessita anche di regolamenti interni. Questi devono essere conformi ai livelli di sicurezza della norma DIN 66399, in cui viene regolata la misura di distruzione dei supporti di dati (in particolare carta) affinché possano essere smaltiti in conformità al GDPR. Oltre alla carta con dimensioni prescritte, anche i DVD, le chiavette USB e gli hard disk del server possono essere smaltiti una volta scaduto il termine legale minimo del periodo di conservazione.

Foto: Pixabay.com, copyright by ReadyElements, 3509495, CC0 1.0

Informazioni e aiuti

Le misure di protezione sono solo illustrative e non esaustive. Se vuoi metterti legalmente al sicuro, saremo felici di aiutarti con il nostro team di WB Trade-it. Insieme possiamo trovare soluzioni che si adattano perfettamente alla tua situazione e con le giuste misure per la tua azienda.

Da un anno sei conforme al GDPR… ma va ancora tutto bene?

Gli obblighi del GDPR dovrebbero essere stati implementati, in tutte le aziende che elaborano dati personali, sin dal maggio 2018. Sei riuscito a fare tutto in tempo? Ottimo! Ma com’è messa ora la tua conformità al GDPR? La domanda ti sembra forse strana ma, una volta implementato, il sistema non è autoregolante. Quindi, che cosa puoi fare per controllare che i tuoi processi e la tua azienda siano ancora conformi al Regolamento?

Ancora conforme al GDPR?

I 4 punti più importanti che devi ricordare

Da quando ti sei adeguato al GDPR, possono essersi verificati dei cambiamenti: possono essere state introdotte regole aggiuntive al GDPR; la tua azienda è cresciuta nel frattempo e hai acquisito un nuovo sistema IT poiché quello vecchio è diventato obsoleto; oppure hai assunto del personale nuovo che non ha partecipato alla formazione iniziale sul GDPR. Vedi che, in tutti o solo alcuni ambiti, potrebbe diventare un problema? Quindi, che cosa dovresti fare?

Le cose importanti sono:

  • Una revisione regolare (Checkup) e un’analisi dei tuoi processi.
  • L’introduzione di un sistema di data-management.
  • La formazione regolare di tutti i dipendenti.
  • Effettuare un Audit cosi come da articolo 42 del GDPR.

Checkup e analisi dei tuoi processi

Una volta adeguati al GDPR, i tuoi processi dovrebbero funzionare. Nella maggior parte dei casi, però, non lo fanno senza intoppi, poiché solo nella pratica si evidenziano i punti da ottimizzare. Ciò accade anche se le bozze di procedure sembrano, nella teoria, perfette e funzionanti. Infatti, non appena i dipendenti li implementano nella loro routine quotidiana di lavoro, notano quali criticità non sono ancora state risolte in modo soddisfacente.

Spesso, queste cose si notano quando si deve elaborare un caso particolare, che si verifica raramente e che, a quel punto, non è semplice da gestire. Questo riscontro è molto utile e ti permette di aggiustare i punti non perfettamente funzionanti.

Oltre ai riscontri dei tuoi collaboratori, anche il responsabile per la protezione dei dati (RPD) deve esaminare costantemente questi processi e proporre modifiche e miglioramenti. Perché lui è, in base all’articolo 39 GDPR, incaricato di “sorvegliare l’osservanza del regolamento”.

Pertanto, è utile lavorare in modo attivo all’analisi dei processi aziendali e assicurarti di ciò su cui puoi intervenire rapidamente, prima che si possa verificare una violazione dei dati.

Introduzione di un sistema sostenibile della gestione dei dati (DMS)

L’analisi e il controllo sono buone opzioni per te, ma non dovrebbero essere eseguite a intermittenza, magari solo quando ti capita, per caso, di avere un pò di tempo. Pertanto è meglio, oltre che ad essere previsto dal GDPR, introdurre un sistema di gestione dei dati sostenibile.

Per il GDPR ciò significa, per esempio, che oltre all’incaricare un Responsabile per la protezione dei dati (RPD), anche le tue misure tecniche e organizzative, ai sensi dell’articolo 32 GDPR, siano costantemente aggiornate.

Devi rispettare il tuo obbligo di prova, tenendo un registro di tutte le attività di trattamento, ai sensi dell’articolo 30 GDPR. Inoltre, in conformità con l’articolo 35 del GDPR, è necessario preparare una valutazione d’impatto sulla privacy, in cui si esaminano attentamente i rischi e le conseguenze delle misure di trattamento previste.

È anche importante che organizzi adeguatamente la tua gestione dei contratti. Se consenti ai tuoi fornitori di servizi di elaborare i dati dei tuoi clienti o dipendenti, assicurati di stipulare prima un contratto con tali fornitori per questi trattamenti, come ai sensi dell’articolo 28 del GDPR. Il contratto deve garantire che il fornitore adotti le misure tecniche e organizzative adeguate al fine di salvaguardare i diritti delle persone interessate.

Formazione regolare di tutti i dipendenti

Tutti i dipendenti coinvolti nel trattamento dei dati personali devono essere formati in modo continuo. Poiché devi prestare attenzione al fatto che nella tua azienda in nessun posto di lavoro s’ignori la protezione dei dati, è importante che tutti i dipendenti siano sensibilizzati allo stesso livello.

La formazione costante dei collaboratori ti aiuta anche nel caso in cui tu debba spostare o sostituire qualche dipendente con breve preavviso. In questa situazione non ti puoi permettere che il sostituto non abbia mai sentito parlare della privacy. Per inciso, la formazione continua e la formazione degli impiegati sono comunque essenziali per la tua azienda, non solo nel contesto del GDPR.

I corsi di formazione sono solitamente organizzati dal Responsabile per la Protezione dei Dati, anche se non è obbligato a tenerli personalmente. Ci sono specialisti che svolgono questa formazione in loco. Ma puoi anche utilizzare la formazione online oppure le offerte della Camera di Commercio o dell’Industria locale.

È quindi necessario documentare la partecipazione a questi corsi di formazione come parte della prova e della responsabilità ai sensi dell’articolo 5 GDPR.

Esecuzione di un audit conforme al GDPR (art.42)

Per dimostrare ai tuoi clienti e fornitori che, da te, i dati si trovano in buone mani perché li gestisci in modo responsabile e perché rispetti gli obblighi del GDPR, è utile e positivo se puoi esibire una certificazione. Tale certificazione è ottenibile, conformemente alle disposizioni del GDPR (art. 42), da un organismo di certificazione accreditato (art. 43 DGPR).

La certificazione deve essere volontaria e accessibile attraverso un processo trasparente e non ti esonera dalla responsabilità di rispettare gli obblighi del GDPR. Per questi audit devi fornire all’organismo di certificazione tutte le informazioni necessarie. La certificazione ha una validità di 3 anni e può essere rinnovata se continui a mantenere gli stessi standard (per ulteriori informazioni riguardo la certificazione, leggi il nostro articolo “Codice di condotta e certificazioni di qualità per osservare gli obblighi del GDPR”)

In linea di principio, questi audit non sono una novità perché sono già stati effettuati in passato, sotto il nome di “Data Protection Audit”, al fine di verificare e dimostrare la conformità dell’azienda con il codice della privacy. La procedura oggi e simile: attraverso l’uso di uno specifico questionario vengono controllati e provati i processi della tua azienda.

Ad esempio, viene controllato com’è strutturata la tua organizzazione e come è fatto il tuo piano di protezione dei dati. Ma anche il controllo degli accessi per le persone non autorizzate o l’accesso fisico ad ambienti e il controllo degli accessi ai PC sono esaminati attentamente. E, ovviamente, va controllato se sei obbligato a incaricare un Responsabile per la Protezione dei Dati (RPD) e se tale figura, nel caso, esiste.

Come puoi mantenere il focus su tutto?

L’implementazione del GDPR nelle aziende è stato un grande sforzo per titolari e dipendenti. La revisione e il controllo regolare pongono ora nuove sfide a tutti. In fin dei conti, nessuno vuole rischiare accidentalmente una multa salata perché qualcosa è stato ignorato – almeno finché non è troppo tardi.

GDPR-Audit per mantenere il controllo

Quindi, ha senso cercare un aiuto professionale. Noi, con il nostro team di esperti, affrontiamo ogni sfida. Il nostro personale competente è disponibile in qualsiasi momento e ti aiuta con l’analisi dei tuoi processi, con gli adeguamenti necessari e con la formazione dei tuoi dipendenti. Siamo felici di consigliarti sui nostri servizi, supporti e prodotti.

DPO- il partner giusto

Come trovi il RPD – Responsabile della Protezione dei Dati – più giusto per te?

Il GDPR contiene una serie di nuovi requisiti che dovevano essere implementati dalle aziende sin dalla sua entrata in vigore, a maggio 2018. Tuttavia, un lavoro “una tantum” non è sufficiente, perché i tuoi processi devono essere continuamente adeguati e aggiornati al regolamento, sia dal punto di vista tecnico che da quello organizzativo.

DPO- il partner giusto
RPD – DPO come trovare quello giusto?

Che tutto funzioni al meglio e che sia controllato correttamente non dipende soltanto da te, come direttore generale o proprietario d’azienda, ma anche dal tuo Responsabile per la Protezione dei Dati – RPD (DPO Datat Protection Officer) . Infatti, devi nominare un RPD, come definito nell’articolo 37 GDPR, se le tue attività aziendali principali consistono in trattamenti su larga scala o di categorie particolari di dati personali, di cui all’articolo 9 GDPR .

Dove cerco un RPD o DPO esterno?

Fondamentalmente, hai due possibilità. Innanzitutto, devi prima decidere se incaricare un dipendente interno per questa posizione o trovare un Responsabile per la Protezione dei Dati esterno.

A che cosa devi prestare attenzione?

Internamente, in genere, farai fatica ad individuare un dipendente già pronto con le qualifiche richieste. Dovrai quindi considerare di fargli frequentare opportuni corsi di formazione. I corsi, non solo costano soldi ma impegnano il tuo collaboratore anche molto tempo. Inoltre, considera che il neo-RPD avrà probabilmente acquisito la necessaria conoscenza di base, ma non avrà ancora sviluppato alcuna esperienza nel settore. Le abilità si sviluppano solo nel tempo!

Viceversa, un fornitore di servizi esterni è l’ideale per le piccole e medie imprese e consente anche di risparmiare sui costi. Questi fornitori di servizi hanno già anni di esperienza nel settore specifico. Esiste un numero indefinito di società di servizi e avvocati che si offrono come Responsabili esterni della protezione dei dati. Purtroppo, spesso di fronte a una così vasta offerta è difficile decidere per l’RPD più adatto alle proprie esigenze.

Le opzioni per trovare un RPD adatto.

Anche in questo caso hai due opzioni “ufficiali” a disposizione. Puoi, per esempio, trovare un esperto della protezione dei dati tramite il TÜV Italia. Il TÜV è conosciuto e quindi affidabile.

È inoltre possibile contattare l’associazione professionale dei Responsabili della protezione dei dati  Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e. V. oppure l’associazione Federprivacy. Tramite queste organizzazioni puoi ottenere gli elenchi dei membri professionisti e prendere contatto con uno di loro.

È anche utile consultare amici e conoscenti che possono raccontarti le loro esperienze, positive o negative, con determinate aziende. In fondo, è importante che tu scelga qualcuno che sia competente, che ti sia gradevole e con il quale poter costruire una buona e duratura cooperazione sulla base di reciproca fiducia.

Quali qualifiche deve avere il DPO?

Le qualifiche richieste sono menzionate nell’articolo 37 (5) GDPR: “Il responsabile della protezione dei dati è designato in funzione delle qualità professionali in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.”

Inoltre, il considerando 97, relativo all’articolo 37, aggiunge, alla conoscenza specialistica che il ruolo richiede, conoscenze specifiche sulle operazioni di trattamento e protezione dei dati personali utilizzati.

Quali ambiti di competenza deve coprire?

I compiti che il Responsabile della protezione dei dati deve svolgere, nel corso della sua attività, sono descritti dettagliatamente nell’articolo 39 del GDPR. Questi includono, per esempio:

  • Informare e fornire consulenza al titolare del trattamento e ai dipendenti.
  • Sorvegliare l’osservanza del Regolamento GDPR.
  • Fornire un parere in merito alla valutazione d’impatto.
  • Cooperare con l’autorità di controllo.
  • Fungere da punto di contatto per l’autorità di controllo.

Di conseguenza, la sua attività è piuttosto ampia e interdivisionale. È quindi un vantaggio se ha profonde conoscenze sia in questioni legali, sia organizzative che di programmazione IT. (scarica il nostro e-Book)

A proposito: giacché il responsabile della protezione dei dati è pur sempre un essere umano che potrebbe commettere un errore, sarebbe bene se verificassi se ha un’assicurazione di responsabilità civile. Tale assicurazione coprirebbe, nella peggiore delle ipotesi, i danni che potrebbe causarti.

Come scelgo il giusto RPD?

A questo punto, non soltanto devi selezionare un Responsabile della Protezione dei Dati esterno qualificato, ma devi anche valutare altri aspetti. In particolare, da quale ambito professionale dovrebbe provenire il DPO? Dovrebbe essere un avvocato o uno specialista IT? E infine, il professionista più economico è sempre peggio di un esperto più costoso?

Chi è meglio come DPO: un avvocato o uno specialista IT?

Sul mercato sono disponibili diversi corsi certificati, ma non è prevista una formazione obbligatoria per i Responsabili della Protezione dei Dati (RPD). La tua scelta potrebbe quindi orientarsi verso un avvocato che sicuramente padroneggia perfettamente la parte legale della gestione dei dati.

Oppure, potresti optare per uno specialista IT che conosca molto bene i Software, l’Hardware e i vari programmi. Ma la gestione della privacy è principalmente organizzazione piuttosto che programmazione tecnica, motivo per cui non è nemmeno possibile sfruttare appieno la conoscenza approfondita dello specialista IT.

Attenzione: Il tuo fornitore usuale di servizi IT, che arriva quando la tua stampante smette di funzionare o i tuoi dati nel sistema sono scomparsi, non può diventare contemporaneamente il Responsabile della Protezione dei Dati perché gli mancano l’obiettività e la neutralità necessarie. Infatti, ovviamente preferirà i programmi e i processi da lui introdotti, e quindi potrebbe trascurare soluzioni alternative.

L’avvocato sembrerebbe quindi la scelta migliore in quanto i rapporti con le autorità di controllo si svolgono molto sul piano legale. Ricorda che sono richieste una conoscenza e esperienza specifica che non si possono apprendere attraverso un semplice corso di formazione. Per contro, un avvocato purtroppo non ne sa abbastanza di problemi informatici o di misure organizzative di protezione. Pertanto, un fornitore di servizi che copre tutte le discipline e ti offre un team qualificato di avvocati e specialisti IT è la scelta migliore per te. Grazie a questo backround, il fornitore di servizi può fornire la riposta o la soluzione legale o tecnica giusta in ogni situazione.

Meglio un DPO economico o uno costoso? (art.37-39)

Questa domanda è molto popolare, ma qual’ è il tuo limite personale tra economico e costoso? Ci sono buoni professionisti economici e cattivi professionisti costosi, quindi per te dovrebbe essere logico scegliere l’intero pacchetto. Ma devi tener conto del fatto che l’istruzione e la formazione continua dei bravi DPO non è economica! Un esperto che investe costantemente nella propria istruzione non può offrirti prezzi ridicoli. Semplicemente, non sarebbe conveniente per lui. Prezzi troppo bassi dovrebbero indurti a riflettere.

Pensa ad un buon avvocato che dovrebbe salvarti dalla prigione. Certamente di fronte a tale possibile punizione (che, in senso figurato, nel GDPR è rappresentata da una enorme multa), ricercheresti il migliore difensore e, se necessario, senza badare a spese! È sempre pericoloso scegliere un partner solo per risparmiare, perché ciò alla fine ti può costare caro.

In ogni caso dovresti prestare attenzione a:

  • Che cosa ti viene offerto per i tuoi soldi?
  • Il fornitore di servizi è sufficientemente qualificato e ha molti anni di esperienza pratica e approfondite conoscenze specialistiche?
  • È sempre reperibile per te?
  • Ti consiglia in modo esaustivo e comprensibile e ti offre un buon servizio personale oltre ad un supporto telefonico e via e-mail?

L’agonia della scelta – possiamo convincerti?

Se non sei sicuro su quale sia il fornitore di servizi esterno più adatto a te, allora lasciati semplicemente consigliare da noi.

Cyber Security
Cyber Security and Digital Data Protection Concept.

Noi ti possiamo aiutare in ogni caso, indipendentemente dalla tua decisione. Nel nostro team abbiamo membri esperti e con conoscenze sia giuridiche sia tecniche professionali. Quindi potrai beneficiare in ogni caso della collaborazione di entrambi! Inoltre possiamo fornirti il tuo Responsabile per la Protezione dei Dati (RPD) oppure formare i tuoi collaboratori, se desideri sceglierne uno tra i tuoi dipendenti adatto per questo ruolo.

Una cooperazione di fiducia e a lungo termine, una reperibilità costante e un buon servizio sono per noi di dovere. Il nostro team, composto da molteplici esperti, offre numerosi servizi e diversi corsi di formazione inerenti al GDPR, tutti fruibili con la formula “chiavi in mano”. Siamo felici di spiegarti, in un colloquio personale, i nostri servizi e soluzioni su misura per le tue esigenze!

GDPR - cloud service security

Quando un servizio Cloud é conforme al GDPR?

Cloud service e GDPR

Le grandi aziende lavorano, giustamente, con i sistemi ERP e memorizzano i loro dati in Cloud. Tuttavia, un lavoro efficace, rapido e conveniente potrebbe essere eseguito a discapito della sicurezza. Infatti, spesso i server su cui sono archiviati i dati nel cloud si trovano all’estero e, di conseguenza, non sono necessariamente soggetti alle rigorose condizioni europee sulla protezione dei dati. Ma questa è solo una delle cose importanti di cui devi essere a conoscenza riguardo gli obblighi del GDPR, quando lavori con il cloud.

Quali sono i requisiti necessari perché il cloud sia considerato sicuro e i servizi in cloud siano ritenuti conformi al GDPR?

Pro e contro del Cloud

Prima di esaminare quando un servizio cloud sia conforme al GDPR, diamo un’occhiata a cosa prevedete questo servizio. Se cosi tante persone amano lavorare con il cloud, deve anche avere molti vantaggi, giusto? Esistono anche svantaggi o rischi? E quali sono?

I vantaggi e gli svantaggi del cloud sono leggermente diversi tra utenti privati e utenti di grandi aziende. Poiché qui trattiamo le esigenze della tua azienda, ci limitiamo ad esaminare queste ultime. Ovviamente puoi risparmiare un sacco di soldi attraverso i servizi cloud in termini di servizi esterni, personale e hardware. Paghi mensilmente per i servizi cloud un importo pre-stabilito e calcolabile e inoltre non hai costi interni per la manutenzione o i server e il personale dedicato, perché tutto ciò viene effettuato dal fornitore del servizio cloud. In più, il tuo software è sempre aggiornato.

Lo svantaggio è che dipendi completamente dal fornitore, e che lui potrebbe distruggere il tuo lavoro, nel caso di una sua bancarotta. Anche in termini di servizio, devi sperare che tu possa sempre raggiungere qualcuno che ti aiuterà in caso di bisogno. Un altro problema potrebbe essere la connessione Internet. Se hai collegamenti mal funzionanti, la connessione diventa inaffidabile e senza dati non puoi lavorare.  Inoltre, non è chiaro se e quando sia necessario adeguare i tuoi sistemi IT al software del provider. Tuttavia, il rischio maggiore è la protezione dei dati, se il server si trova all’estero e non è vincolato dal GDPR.

Utile: anche il servizio Cloud deve essere conforme al GDPR

Non solo tu, ma anche il fornitore di cloud italiano o europeo è vincolato dal GDPR. Il suo servizio Cloud deve essere conforme al GDPR. Questo è un vantaggio per te perché il fornitore, per conto proprio, garantisce sia misure tecniche che organizzative di tutti suoi processi e, di conseguenza, anche i servizi Cloud proposti saranno conformi al GDPR. Se utilizzi un simile servizio cloud, allora sei dalla parte sicura.

A che cosa prestano attenzione i Cloud Provider?

Proprio come te, i servizi cloud devono prestare particolare attenzione all’articolo 5 del GDPR che stabilisce che gli interessati devono aver precedentemente acconsentito al trattamento dei dati personali. Inoltre, l’elaborazione deve essere cosi trasparente da essere comprensibile per le persone interessate.

In più, come da art. 32 del GDPR, i servizi cloud devono essere sempre all’avanguardia e aggiornati all’ultimo stato dell’arte. I fornitori cloud devono continuamente ottimizzare, migliorare e adeguare i loro programmi e processi per garantire il massimo livello di sicurezza.

Affinché gli utenti possano gestire il programma, il provider deve prestare attenzione ai termini di “Privacy by Design” e “Privacy by Default”. Questi obblighi sono previsti dall’articolo 25 del GDPR e significano che le impostazioni del programma devono essere non solo rispettose della privacy, ma anche di facile utilizzo. (Trovi informazioni dettagliate al proposito nel nostro articolo GDPR: una volta implementato, tutto a posto?“)

Chi è responsabile per l’elaborazione dei dati in Cloud?

Attenzione a non commettere l’errore di pensare che il servizio cloud abbia già sistemato tutto e che, nel caso, puoi biasimarlo per una violazione dei dati. Sfortunatamente non è così. Perché quanto a responsabilità, entrambi tu e il cloud provider siete tenuti a rispettare gli obblighi del GDPR. Ed è inoltre consigliato avere la conferma scritta da parte del provider del Cloud che il servizio sia conforme al GDPR.

Gli articoli 5, 28, 30 e 35 del GDPR comportano obblighi di responsabilità, secondo i quali l’utente del cloud è responsabile di garantire che tutti i requisiti regolamentati siano soddisfatti! E questo devi essere in grado di dimostrarlo già prima dell’utilizzo e/o trattamento. Ciò include, ad esempio, la registrazione dell’elaborazione dei dati in cloud nel tuo registro dei trattamenti. In caso di dubbi, è necessario verificare l’elaborazione in cloud mediante un’analisi dei rischi (valutazione dell’impatto sulla privacy) e implementare le misure di sicurezza adeguate affinché il rischio sia minimizzato.

Se vuoi utilizzare un servizio cloud, anche se a volte non accade semplicemente cosi, come utente del servizio devi indispensabilmente dare un mandato al provider del cloud affinché possa elaborare i dati personali dei tuoi clienti e fornitori (art. 28 GDPR). Tramite l’incarico per l’elaborazione dei dati puoi garantire che il fornitore del servizio cloud soddisfi anche i requisiti del GDPR. E, come parte integrante, il cloud provider ti deve fornire tutte le informazioni necessarie per dimostrare che sia adempiente a tutti gli obblighi.

Importante per te: lavora solamente con fornitori Cloud certificati!

Se stai cercando un fornitore adatto, assicurati di lavorare soltanto con un operatore cloud certificato. Sebbene tu possa fare molti accordi con il fornitore, non puoi essere sicuro che l’azienda di servizi si attenga agli accordi. È quindi utile se ti fai consegnare un certificato che dimostri che il servizio cloud ha superato “il processo di certificazione approvato ai sensi dell’articolo 42”. (Saprai di più sulla procedura nel nostro articolo “Codice di condotta e certificazioni di qualità per osservare gli obblighi del GDPR“)

Quali alternative ci sono al Cloud?

Nonostante il rischio, il nuovo Cloud è davvero una soluzione pratica. Esiste anche un encomiabile/lodevole servizio di scambio dati (iDGARD di Uniscon) che soddisfa i requisiti del GDPR.

Cloud security

Se invece non desideri utilizzare il servizio Cloud (con un operatore europeo si dovrebbe stare abbastanza al sicuro), allora in alternativa ti resta solo la chiavetta USB, dischi rigidi esterni oppure un cloud privato attraverso un’intranet aziendale.

Quello che dovresti utilizzare, caso per caso, dipende dalla tua azienda e dai tuoi processi. La soluzione scelta deve essere adatta e coerente per te, senza complicare i tuoi processi aziendali o mettere in pericolo la protezione dei tuoi dati. Tieni presente che le chiavette USB e i dischi rigidi esterni sono supporti di memorizzazione piuttosto a breve termine, su cui i dati non sono protetti in modo illimitato.

Affinché la protezione dei dati e il lavoro in cloud siano strettamente legati ai tuoi processi aziendali, il nostro team di esperti di WB Trade-it sarà lieto di aiutarti ad allineare le tue procedure e la tua privacy al GDPR.

Ricorda, lavorare in un Cloud conforme al GDPR non per forza deve essere più costoso rispetto ad un servizio non conforme. Tuttavia, alla tua attività ciò evita danni economici e di reputazione.

Hai ancora domande o dubbi?

Contattaci e insieme troviamo la soluzione più adatta alla tua attività. La prima consulenza è sempre gratuita e senza vincoli.

Codice di condotta e certificazioni di qualità per osservare gli obblighi del GDPR

Una volta implementati i processi di gestione dei dati personali nella tua azienda è necessario monitorarli regolarmente attraverso appropriate misure tecniche e organizzative. In questo modo garantisci di rispettare gli obblighi riguardo il regolamento.

Hai mai sentito parlare del codice di condotta?

Foto: Pixabay.com, copyright by geralt, 4015001, CC0 1.0

In un’azienda, solitamente l’amministratore delegato è Responsabile per la tutela dei dati personali. Questo non cambia nemmeno incaricando un RPD (responsabile per la protezione dei dati), che deve prevalentemente controllare la corretta implementazione dei requisiti del GDPR e monitorare se la direzione persegue gli obiettivi attraverso concetti e strategie adeguati.

Ma in che modo l’Amministratore Delegato e il Responsabile per la Protezione dei Dati soddisfano correttamente i propri obblighi?

I più importanti obblighi a riguardo, nel GDPR

Il GDPR ti fornisce alcuni indizi. In primo luogo, descrive l’esatta responsabilità dell’art. 24 e fa specifico riferimento agli articoli 40 e 42. Diamo un’occhiata più da vicino a questi obblighi per scoprire che cosa significano concretamente per te.

Articolo 24 GDPR – La responsabilità del titolare del trattamento

Il legislatore spiega, in quest’articolo, che la persona responsabile deve garantire, attraverso una valutazione del rischio e adeguate misure tecniche e organizzative, che il trattamento dei dati sia conforme al GDPR. Per questo ne è richiesta inoltre la dimostrazione documentata. Come prova, occorre dimostrare l’osservanza del codice di condotta, di cui all’articolo 40, cosi come della procedura di certificazione approvata di cui all’articolo 42.

Le misure di protezione esatte non sono menzionate nel regolamento, ma puoi trovare dei riferimenti nei relativi considerando 74-77, che trattano soprattutto la valutazione del rischio.

Articolo 40 GDPR – Codici di condotta

Qui sono stati formulati 11 punti che ti spiegano quali regole di condotta devono essere elaborate dettagliatamente negli Stati membri. Questi punti sono elencati al numero 2 dove si legge:

  1. Il trattamento corretto e trasparente dei dati;
  2. I legittimi interessi perseguiti dal responsabile del trattamento in contesti specifici;
  3. La raccolta dei dati personali;
  4. La pseudonimizzazione dei dati personali;
  5. L’informazione fornita al pubblico e agli interessati;
  6. L’esercizio dei diritti degli interessati;
  7. L’informazione fornita e la protezione del minore e le modalità con cui è ottenuto il consenso dei titolari della responsabilità genitoriale sul minore;
  8. Le misure e le procedure di cui agli articoli 24 e 25 e le misure volte a garantire la sicurezza del trattamento di cui all’articolo 32;
  9. La notifica di una violazione dei dati personali alle autorità di controllo e la comunicazione di tali violazioni dei dati personali all’interessato;
  10. Il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali;
  11. Le procedure stragiudiziali e di altro tipo per comporre le controversie tra titolari del trattamento e interessati in materia di trattamento, fatti salvi i diritti degli interessati ai sensi degli articoli 77 e 79.

Queste regole sono importanti perché aiutano a soddisfare i requisiti di prova di cui agli articoli 24 e 32. Le regole sono inoltre importanti nel contesto della valutazione d’impatto sulla protezione dei dati di cui all’articolo 35.

Chi è autorizzato a stabilire queste regole?

Queste regole di comportamento sono chiamate anche “Code of Conduct” oppure  “Codice di condotta della privacy”. Sono regole elaborate, in base all’articolo 40, dalle “associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento”, per esempio da associazioni professionali come l’Albo dei Medici o l’Albo degli Avvocati, ma anche la Camera di Commercio oppure i sindacati e le associazioni dei datori di lavoro.

Le associazioni devono prima sottoporre il proprio progetto di codice di condotta elaborato all’autorità di controllo, competente per la revisione e l’approvazione ai sensi dell’articolo 55 del GDPR. Regole nazionali possono essere autorizzate e pubblicate dall’autorità autonomamente. Invece, per progetti di codici di condotta che riguardano attività di trattamento internazionali, l’autorità competente lo sottopone al comitato (art.63), tramite il meccanismo di coerenza, il quale formula un parere sulla conformità.

Chi controlla l’osservanza delle regole?

La sorveglianza è regolata dall’articolo 41. L’articolo afferma che oltre all’autorità di controllo competente (ai sensi degli articoli 57 e 58), anche un cosiddetto “organismo accreditato” controlla la conformità. L’organismo verifica regolarmente la conformità e informa l’autorità di controllo in caso di violazioni.

Articolo 42 – GDPR Certificazione

In questo articolo viene specificato che gli Stati membri e le autorità di controllo incoraggiano l’istituzione di meccanismi di certificazione e di sigilli e marchi di protezione dei dati, allo scopo di dimostrare la conformità dei trattamenti effettuati al GDPR. Nel considerando 100 viene inoltre menzionato che questi marchi e sigilli dovrebbero aiutare agli interessati “a valutare rapidamente il livello di protezione dei dati dei relativi prodotti e servizi”.

Inoltre, la certificazione deve essere volontaria e accessibile attraverso un processo trasparente. Tuttavia, solo perché sei certificato non significa che tu, in quanto responsabile, possa prestare meno attenzione alla conformità. La certificazione non diminuisce le tue responsabilità e nemmeno i compiti e poteri delle autorità di controllo.

La certificazione viene effettuata in base agli articoli 43, 58 o 63  dalle autorità di controllo competenti oppure da organismi di certificazione. Il Responsabile deve fornire all’ente di certificazione tutte le informazioni necessarie per ottenere la certificazione. La certificazione è rilasciata al titolare per un periodo massimo di tre anni e può essere rinnovata alle stesse condizioni, purché continuino a essere soddisfatti i requisiti pertinenti. Nel caso contrario la certificazione può essere anche revocata.

Articolo 43 GDPR Organismi di certificazione

Questo articolo specifica quali enti possono essere accreditati come organismi di certificazione. Gli enti certificatori devono soprattutto essere:

  • indipendenti,
  • in grado di dimostrare all’autorità di controllo di essere competenti riguardo al contenuto della certificazione,
  • impegnati a rispettare i criteri di cui all’articolo 42, 55, 56 e 63
  • dotati di procedure necessarie per l’emissione, organizzati per la revisione periodica e la revoca della certificazione e dei sigilli e marchi di protezione dei dati
  • provvisti di procedure e strutture tramite le quali possono verificare la certificazione
  • in grado di dimostrare, in modo convincente, all’autorità di controllo, che i compiti e le mansioni non comportano un conflitto d’interessi.
Foto: Pixabay.com, copyright by 422737, 445157, CC0 1.0

Cosa fare se non sai più come procedere?

La quantità d’informazioni e obblighi che devono essere tenuti in considerazione, il comportamento corretto, la preparazione e la conduzione delle certificazioni possono essere davvero tante e difficili da gestire. Quindi è molto facile perdere la rotta. Poiché, per te, molto dipende da una certificazione di successo è utile farti consigliare e supportare da qualcuno che sa come funziona. E poiché l’introduzione del GDPR non risale a tanto tempo fa, per te sarebbe la prima volta che affronti la certificazione? Oppure stai pensando di aderire ad un codice di condotta? Niente panico!

Noi di WB Trade-it possiamo aiutarti. Come azienda di servizi con molti anni di esperienza conosciamo molto bene le varie certificazioni e processi. Siamo lieti di assisterti con il nostro team di esperti  e attendiamo il tuo messaggio.

Protezione dei dati: peso o vantaggio?

Protezione dei dati – Peso o Vantaggio?

Le novità del GDPR sono state recepite dalle aziende come complicate e la loro implementazione è stata lunga e fastidiosa. Ma dal momento che si tratta di una legge che prevede sanzioni elevate in caso di inosservanza, i proprietari delle aziende non hanno avuto altra scelta che prendersene cura. Inoltre, hanno dovuto anche assolvere il compito di monitorare regolarmente i processi di protezione dei dati, adattarli continuamente e aggiornarli mediante adeguate misure di sicurezza tecniche e organizzative.

Fotografia: Pixabay.com, copyright by geralt, 1802613, CC0 1.0

Ma la Privacy non è una nuova invenzione e rappresenta, soprattutto per gli utenti e i clienti, una benedizione perché la loro privacy è ora molto più protetta. Tuttavia, è proprio vero che per le aziende la protezione dei dati è soltanto un fastidioso obbligo o porta forse anche dei benefici? E se sì, quali sono?

La privacy è davvero un peso per te?

È comprensibile che per un titolare d’azienda i nuovi obblighi e requisiti del regolamento, implementati con elevati costi e impegno lavorativo possono essere considerati come svantaggi. Dopo tutto, devono essere osservati una serie di obblighi e, soprattutto per il marketing e la pubblicità, ne derivano grosse limitazioni. Infatti, poiché il cliente deve acconsentire ogni singola azione, la raccolta dei dati e la pubblicità non possono più essere eseguite cosi facilmente.

La situazione sarà ulteriormente aggravata dall’introduzione del previsto regolamento e-Privacy che specificherà e regolerà ulteriormente le comunicazioni elettroniche. La situazione quindi è disperata? No, assolutamente! Se pianificato e gestito correttamente, l’e-privacy determina anche dei vantaggi per le aziende.

Quali benefici può trarre la mia azienda da una buona protezione dei dati?

Ridurre i costi e aumentare l’efficienza

Poiché hai già sviluppato un buon concetto di protezione dei dati per implementare il GDPR nella tua azienda, puoi ottimizzare i processi di lavoro che, con l’aiuto del RPD (Responsabile della protezione dei dati) che hai dovuto nominare, sono costantemente monitorati e ottimizzati. Di conseguenza, i tuoi processi possono essere ben modernizzati e costantemente migliorati.

Grazie a processi più snelli ed efficaci possono persino essere ridotti i costi.  Non solo attraverso un lavoro più efficiente, ma anche perché ex dipendenti, concorrenti o clienti non avranno motivi per segnalarti alle autorità di controllo ed esporti al rischio di multe salate.

Proteggi i segreti commerciali e migliora il marketing

Se i tuoi dipendenti sono sensibilizzati all’argomento attraverso una formazione specifica, potrai evitare molti errori sin dall’inizio.

Si aggiunge il fatto che puoi controllare al meglio i  “flussi d’informazioni non autorizzati” e cercare di contenerli al massimo. Conosci anche tu il comportamento dei noti “Whistleblowern” (informatori) che proclamano informazioni politicamente esplosive tramite i media? Simili personaggi possono essere tenuti alla larga, dalla propria organizzazione, con una politica sulla privacy ben funzionante. Solo cosi le aziende potranno anche proteggere i propri prodotti e le informazioni sui clienti e sui dipendenti dalla concorrenza astuta e talvolta sleale.

Soprattutto, se nel tempo ti sei anche costruito un buon management dei dati, avrai sviluppato una elevata protezione dallo spionaggio industriale. In altre parole sei in grado di proteggere i tuoi affari e segreti commerciali.

La gestione del tuo marketing è più complicata? Beh, fino ad ora hai semplicemente raccolto dati generici, ma ora lavori con dati attuali, aggiornati e, soprattutto, realmente utilizzabili. E gli interessati che ti permettono di usare i loro dati sono quelli sui quali puoi concentrare e indirizzare la tua pubblicità con lo scopo di convertirli in clienti.

Costruisci fiducia e una buona reputazione

La corretta gestione e il trattamento conforme dei dati dei tuoi clienti contribuiscono a creare un’immagine positiva della tua azienda. Quindi, non è proprio un vero svantaggio per te, giusto?

Tutti questi punti alla fine, ti permettono di assumere una posizione di fiducia sia all’interno sia all’esterno della tua azienda. Ciò ti garantisce la cooperazione e la fiducia a lungo termine di dipendenti e clienti, come pure di fornitori e partner commerciali.

Tuttavia, il raggiungimento di questo obbiettivo richiede una buona pianificazione strategica, un monitoraggio continuo e opportune ottimizzazioni. Per questo compito complesso spesso il RPD e il titolare si avvalgono del supporto esterno di fornitori di servizi competenti che possiedono già familiarità ed esperienza sull’argomento.

Come puoi portare, nella tua azienda, la Privacy su una buona strada?

Come dimostrano i vantaggi sopra elencati, la corretta gestione della privacy non è solo un peso, ma un’eccellente opportunità per mettere te e la tua azienda in buona luce, sia internamente che esternamente. E la migliorata protezione dei segreti aziendali è comunque molto importante per i tuoi interessi. Certamente non vuoi perdere né prodotti né clienti a favore della tua concorrenza. Ma come puoi proteggerti al meglio?

Dovresti concentrarti su 4 punti

1. Prima di tutto, dovresti esaminare attentamente tutti i flussi di lavoro interni. C’è sempre qualcosa che si può migliorare, sia per la protezione dei dati e del loro trattamento, sia per velocizzare i processi e di conseguenza per risparmiare sui costi. In questo ti possono aiutare i tuoi dipendenti, comunicandoti informazioni su ciò che riscontrano quotidianamente e suggerendoti gli eventuali cambiamenti da implementare. Ovviamente i processi non devono essere migliorati limitatamente ai singoli reparti bensì essere funzionali per tutta la tua azienda.

2. Dovresti quindi aggiornare i tuoi dipendenti in modo che i processi che vorrai cambiare siano interamente compresi e applicati da tutti i collaboratori. Per tale formazione puoi rivolgerti ad esperti che istruiscono il tuo staff direttamente presso la tua azienda e su misura per le tue esigenze.

3. Affinché la privacy influenzi positivamente la tua immagine aziendale, devi rendere pubblico il tuo modello di gestione. Menzionalo sul tuo sito internet, nelle interviste, nei volantini o nelle newsletter.

Fotografia: Pixabay.com, copyright by Madskip, 4341631, CC0 1.0

4. Da ultimo, ma non meno importante, dovresti considerare se adoperi già un buon sistema di gestione dei dati oppure installarne uno migliore. Poiché tanti processi importanti per il tuo sistema di DSMS lo sono anche per il GDPR e l’ atteso regolamento e-privacy, risulterà molto pratico risolvere e implementare, in futuro, tutti i punti contemporaneamente. 

Come possiamo aiutarti ?

Sappiamo quanto, adeguarsi a tutti gli obblighi del GDPR, possa essere complicato e richiedere molto tempo, e per questo, noi di WB Trade-it saremo lieti di assisterti con la nostra esperienza e competenza nel settore.

Il nostro personale competente ti aiuta costantemente con consultazioni e analisi, cosí come con l’introduzione dei nuovi processi, perfettamente adatti alla tua situazione. Inoltre, i nostri collaboratori sono abili ed esperti formatori e potranno istruire il tuo personale in vari settori. Siamo anche il tuo partner giusto per migliorare l’immagine aziendale e, insieme a te, possiamo sviluppare progetti concreti per consentirti di effettuare piani pubblicitari efficaci.

 

Dopo il GDPR arriva il regolamento e-Privacy

Dopo il GDPR arriva il regolamento e-Privacy

Se anche tu non vedevi l’ora di riposarti, dopo aver implementato con successo nella tua azienda il GDPR, non è purtroppo ancora giunto il momento. Perché ti attende già la prossima sorpresa: in arrivo il regolamento e-Privacy che è quasi pronto per il via.

Perché un ulteriore regolamento?

Il previsto regolamento e-Privacy non è un’idea nuova. Tuttavia giunge ora a causa della crescente digitalizzazione, più sviluppata. Questo regolamento è più o meno un regolamento speciale con riferimento ad una parte precisa del GDPR, cioè la comunicazione elettronica.

Dopo il GDPR arriva il regolamento e-Privacy
Fotografia: Pixabay.com, copyright by TBIT, 1203603, CC0 1.0

Originariamente sarebbero dovuti entrare in vigore tutti e due i regolamenti, contemporaneamente. Purtroppo l’UE è in ritardo con le bozze del regolamento e-Privacy e con la relativa timeline. Finora il settore era regolamentato all’interno della Direttiva delle comunicazioni elettroniche (Direttiva 2002/58/CE) del 12 luglio 2002 che adesso deve essere disciplinato nuovamente dal regolamento e-Privacy. Con che cosa dobbiamo confrontarci quando arriva il regolamento e-Privacy?

Che cosa tratta il Regolamento e-Privacy?

La direttiva e-Privacy vuole in generale garantire, a livello europeo, la protezione dei diritti e delle libertà fondamentali, la riservatezza delle comunicazioni e la tutela dei dati a carattere personale nel settore delle comunicazioni elettroniche.  Inoltre, dovrà sostituire i regolamenti della legge delle Telecomunicazioni (TKG) e la legge dei Media televisivi (TMG).

La direttiva sarà poi, analogamente al GDPR, valida immediatamente in tutti gli stati membri della Unione Europea e sarà modificabile, nelle clausole di apertura, da ogni stato membro. Il regolamento e-Privacy dovrebbe occuparsi non solo dei dati personali ma anche dei dati non personali e dovrà proteggere sia persone giuridiche sia persone fisiche.

Quali forme di comunicazione elettroniche ne fanno parte?

Si tratta soprattutto di tracking e targeting, servizi di Messaging, servizi di freemail, Cookies e altre comunicazioni via Internet. Sono quindi coinvolti innanzitutto gli accessi Internet, compresi la telefonia via internet e i social-media, oltre al messaging personale, ai servizi di instant-messaging e ai servizi di E-Mail basati sul web.

In che modo il ePrivacy- Regolamento coinvolge le aziende?

La tua azienda è particolarmente colpita dal nuovo regolamento se ti occupi di Online-Marketing o pubblicità diretta. Infatti, nel momento in cui entrerà in vigore il nuovo regolamento, dovrai prestare ulteriore attenzione alla realizzazione della tua pubblicità sui mass-media, che dovrà essere conforme al regolamento.

È importante che i tuoi Cookies e il tuo Tracking siano eseguiti legalmente e conformi al regolamento, per evitare le sanzioni. Inoltre, ciò riguarda naturalmente tutta la tua  comunicazione via E-Mail.

I contenuti più importanti

Quando arriva il regolamento e-Privacy?

Fino ad ora non è ancora stato approvato un regolamento definitivo e ci sono soltanto diverse bozze. Tuttavia, alcuni punti saranno particolarmente importanti. Tra questi il diritto all’oblio. Gli utenti possono, in questo modo, revocare il loro consenso all’utilizzo dei dati in qualsiasi momento e essere rimossi dal database dell’azienda.

Il divieto

Inoltre il divieto di accoppiamento, tra consensi e servizi, sarà ulteriormente sviluppato. Perché le aziende non possono, già adesso, limitare la visibilità dei contenuti della loro pagina internet al consenso del visitatore.

Soprattutto le aziende che si occupano di pubblicità diretta incontreranno maggiori  difficoltà. Infatti, le persone fisiche non potranno più essere disturbate da pubblicità, che corrisponderà a “comunicazione non richiesta”. Inoltre, i clienti dovranno avere la possibilità di obiettare alla ricezione di pubblicità. Anche le impostazioni della Privacy dovranno essere ottimizzate. Il browser deve rimanere facilmente accessibile. Per questo sarà necessario aumentare la protezione agli accessi non autorizzati.

Nel campo della telefonia sarà introdotta la soppressione dei numeri di telefono. Il numero sarà visibile e inserito negli elenchi telefonici soltanto se l’utente lo consente in modo esplicito.

Caso speciale: Cookies

L’elaborazione e conservazione dei dati utenti durante il tracking e targeting, così come dei Cookies, quindi come ad esempio l’amato Google Analytics, è vietato per le aziende se l’utente non ne consente esplicitamente l’uso. Un grosso problema per il reparto marketing di ogni azienda che dipende dalle tecniche di analisi di mercato in rete.

Tuttavia, ci saranno delle eccezioni. Perché i gestori dei siti internet possono registrare i Cookies indispensabili per il corretto funzionamento del sito. Già adesso esiste la generalmente conosciuta soluzione opt-out, mediante la quale l’utente viene informato che il gestore vuole registrare dei dati. A questo punto, l’utilizzatore può decidere se acconsentire o meno ai Cookies.

L’attuale bozza del regolamento

L’attuale bozza del più restrittivo regolamento e-Privacy (articolo 8) prevede che ogni registrazione di dati, da parte dell’apparecchio del gestore finale, e qualsiasi elaborazione e salvataggio, sia vietata.  In più sarà vietata la registrazione di informazioni attraverso l’apparecchio finale utilizzato.

La critica al concetto

L’aumento della tutela della privacy, per l’utilizzatore, è molto positivo. Tuttavia, poiché sono particolarmente colpiti, da questo argomento, i reparti marketing delle aziende, il previsto regolamento non è ben visto dalle imprese. Tale regolamento vuole ottenere, tra l’altro, che ogni utente dia l’esplicito consenso all’utilizzo dei dati per pubblicità, affinché sia legale. E chi di noi vuole essere continuamente inseguito dalla pubblicità?

Quindi le grandi società, comprensibilmente, non sono particolarmente soddisfatte delle restrizioni previste. I Responsabili per la protezione dei dati e chi tutela i consumatori invece sono felici e si impegnano per un aumento della protezione dei dati e per l’introduzione di regolamenti più severi.

Ritardo nell’implementazione

Nel frattempo sono già depositate, a Bruxelles, molte bozze per la direttiva  e-Privacy di cui però nessuna è stata ancora implementata. Allo stato attuale sembra che non ci si possa aspettare una bozza finale prima della fine dell’anno 2019.

Non prendere la E-Privacy alla leggera

Se arriva il nuovo Regolamento e-Privacy diverrà inevitabilmente, e con lui la tutela della privacy, più severo e dovrà essere programmato con estrema attenzione. Infatti, in caso di inosservanza della normativa, sono previste sanzioni e richieste di risarcimento elevate, analogamente al GDPR. Ciò può essere molto costoso, perché le multe potranno arrivare fino a 20 milioni di Euro.

La preparazione con il supporto professionale

Al momento non è ancora chiaro quando sarà varato il Regolamento e-Privacy. Tuttavia, analogamente al GDPR, è fondamentale pianificare e prepararne bene l’implementazione.  Siccome l’esperienza ha dimostrato che ciò richiede molto tempo e presenta una sfida completamente nuova per qualsiasi azienda, è utile consultare gli esperti del settore. Conviene soprattutto iniziare in tempo, per non trovarsi sotto pressione o in ritardo con l’implementazione.

Fotografia: Pixabay.com, copyright by geralt, 571157, CC0 1.0

In particolar modo, commercianti o negozi online dovrebbero già pensare a come attuare le norme più severe.  Ma anche aziende che già oggi lavorano con i metodi di tracking e online-marketing, dovranno attivarsi. Noi consigliamo sempre di prepararsi in tempo, come anche ora che arriva il regolamento e-Privacy.

WB Trade-it è a vostra disposizione per questi servizi con il proprio team di esperti. Grazie all’esperienza pluriennale in diverse aree aziendali e, in particolare, con il GDPR, siamo felici di aiutarvi e consigliarvi, accompagnandovi nella preparazione, l’implementazione e, successivamente, nell’adeguamento e aggiornamento.

GDPR – una volta implementato, tutto a posto?

Fotografia: Pixabay.com, copyright by geralt, 283233, CCO 1.0

Se anche tu hai adeguato la tua azienda ai requisiti del GDPR più o meno puntualmente, allora adesso va tutto bene, vero? Purtroppo, non è così. I principali cambiamenti sono stati sicuramente poco comprensibili, estenuanti o, per alcune aziende, difficili o fastidiosi da implementare e dispendiosi in termini di tempo. Tuttavia, si tratta di un requisito di legge che non può essere evitato. E, anche dopo aver curato con successo l’implementazione, non si si può ancora riposare e occorre restare attenti. Perché è così e a che cosa devi stare attento te lo spieghiamo di seguito. Non pensare che, se hai il GDPR implementato correttamente, per sempre rimarrà tutto cosi e tu possa dormire sogni tranquilli.

La privacy deve essere costantemente aggiornata

Quando hai superato le prime implementazioni e adeguamenti sei, per un certo lasso di tempo, al sicuro. Tuttavia, la tua azienda cresce e, con l’aumentare delle dimensioni, anche i requisiti del GDPR diventano più complessi. Devono essere presi in considerazione più dati di clienti e fornitori, e forse ti occorrono nuovi processi o più collaboratori che se ne occuperanno .

Inoltre, la tecnologia è in continua evoluzione. Perciò, occorre continuamente adeguare i tuoi sistemi IT e i software, si aggiungono nuovi pc o server e, naturalmente, programmi anti-virus sempre aggiornati e misure per colmare eventuali buchi nella sicurezza.

Dovevi già tenere presente tutto questo nella prima implementazione del GDPR o, almeno, organizzarne immediatamente l’adeguamento.  Perciò sei stato consigliato bene se, sin da subito, collabori con un’azienda professionale che si è specializzata nel settore. Infatti, solo un esperto ti può consigliare continuamente e indicare, in tempo utile, i necessari adeguamenti, implementandoli insieme a te.

Contesto dell’adeguamento: articolo 25 GDPR

Il motivo per cui devi sempre essere aggiornato è, ovviamente, che soltanto in questo modo puoi lavorare con efficacia. Inoltre, ciò è espressamente previsto nel GDPR, nell’articolo 25. L’articolo tratta la “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”.

L’Articolo richiede, tra l‘altro, di “tenere conto dello stato dell’arte” affinché il Regolamento possa essere attuato in modo efficace per proteggere gli interessati e soddisfare i requisiti del GDPR.

Ovviamente, lo stato della tecnica sta cambiando nel tempo e, quindi, la tecnologia della tua azienda deve adattarsi costantemente allo stato attuale con nuovi sistemi adeguati o nuovi software e aggiornamenti.

Anche l’organizzazione deve essere adeguata

Infatti, l’articolo afferma anche che, oltre alla tecnologia, devono essere prese “misure tecniche e organizzative adeguate sia al momento di determinare i mezzi del trattamento che al momento dell’effettiva elaborazione”. 

Ecco perché, se necessario, devi cambiare e adattare i tuoi processi o riqualificare i tuoi dipendenti. Non solo il rinnovo del tuo sistema informatico, ma anche i processi di elaborazione e la conoscenza dei dipendenti giocano un ruolo fondamentale nel valutare se la protezione dei dati viene regolarmente osservata.  

L‘articolo 25 GDPR richiede, pertanto, che si adottino continuamente le misure tecniche e organizzative adeguate per garantire che il trattamento sia conforme al Regolamento.  

Quali misure di adattamento sono prescritte?

La legge, sfortunatamente, non menziona quali misure devi prendere. Tuttavia, nel “considerando 78 – misure tecniche e organizzative adeguate” almeno puoi trovare degli esempi. Specificamente menzionata è la pseudonimizzazione, che è anche precisata nell’articolo 4 del GDPR.

Nel considerando 78 è riferito che i responsabili devono prestare particolare attenzione ai principi di “Protezione dei dati per progettazione (data protection by design)” e “Protezione dei dati per impostazione predefinita (data protection by default)”.

Di che cosa si tratta precisamente?

Protezione dei dati by design and by default

Data Protection by design – Protezione dati attraverso la progettazione tecnologica

La protezione dei dati attraverso la progettazione della tecnologia significa che può essere meglio soddisfatta se è già tecnicamente integrata sin dall’inizio (ovvero nel momento della introduzione del GDPR). Quindi devi considerare e pianificare le misure già durante lo sviluppo del tuo concetto di protezione dei dati. Anche in questo ti può aiutare un’azienda specializzata come WB Trade-it e supportarti nella realizzazione, poiché ha l’esperienza necessaria nel settore che, probabilmente, all’inizio ti mancherà.

Data Protection by default

La protezione dei dati con impostazioni predefinite favorevoli alla privacy significa che le impostazioni di base (o le impostazioni IT di fabbrica) sono già molto intuitive, ovvero preparate e progettate in modo facilmente comprensibile. Vale a dire che tutti gli utenti, che sono tecnicamente esperti, dovrebbero essere in grado di effettuare facilmente le impostazioni necessarie.

Quindi quali misure puoi prendere?

Poiché la legislatura ti lascia all’oscuro su che cosa devi fare esattamente, faresti bene ad affidarti all’esperienza e ai consigli di aziende del settore. Il fatto che il legislatore ti lasci un margine per l’esecuzione delle misure è anche un vantaggio. Perché ogni azienda ha il proprio backround individuale. E, ad esempio, come piccola impresa devi prendere misure di sicurezza diverse da quelle di una grande società diversificata.

Il considerando 78 propone per esempio:

  • Pseudonimizzazione di dati personali
  • Offrire Trasparenza per quanto riguarda le funzioni e il trattamento di dati personali
  • Che gli sviluppatori di prodotti utilizzati nel trattamento dei dati personali tengano già conto dello stato dell’arte, in modo che gli utenti successivi possano adempire ai loro obblighi di protezione dei dati
  • Negli appalti pubblichi si dovrebbe prestare attenzione ai principi della protezione dei dati attraverso la tecnologia e le impostazioni predefinite compatibili con la privacy.

 Ulteriori possibili misure

Le altre opzioni possono dipendere dalla tua situazione individuale, ma puoi comunque già pensare a quanto segue:

  • Oltre alla pseudonimizzazione proposta, effettua comunque un’ulteriore anonimizzazione dei dati.
  • Quando acquisti il Software, assicurati che il produttore e lo sviluppatore abbiano già preso in considerazione le tue esigenze, come suggerito nel considerando 78.
  • Introduci l’autenticazione dell‘utente.
  • Progetta e attua tecnicamente il diritto di opposizione ai sensi dell‘art. 21 GDPR.
  • Utilizza i suggerimenti aggiuntivi di altri standard, come per esempio il catalogo di protezione del Bundesamt für Sicherheit in der Informationstechnologie (BSI) oppure quelli dei vari standard ISO.

Tra tutte le misure proposte è necessario considerare anche che l’articolo 25 del GDPR richiede che si considerino i costi di implementazione, la natura, l’ambito, le circostanze e le finalità. È necessario impostarli in relazione ai possibili rischi e alla loro gravità e probabilità di accadimento e quindi determinare appropriate misure.

La valutazione del rischio è una parte molto importante del concetto di protezione dei dati, soprattutto perché l’errata previsione può comportare azioni sbagliate che, alla fine, non possono fornire una protezione adeguata.

Pertanto, siamo lieti di assisterti con il nostro consolidato know-how, competenza e esperienza nel settore. Contattaci per concordare un appuntamento per una prima consulenza.  

Fotografia: Pixabay.com, copyright by TheDigitalArtist, 3443620, CCO 1.0