I concetti di base del GDPR

Il GDPR, da quando è definitivamente entrato in vigore, il 25 maggio 2018, crea ancora confusione. Alcuni punti sembrano essere ancora malcompresi o creano incertezze. Perciò, ecco per te, di seguito, il nostro riassunto compatto dei punti più importanti. Leggi quali sono i contenuti del GDPR da conoscere. I concetti di base del GDPR spiegati punto per punto.

La storia del GDPR

I concetti di base del GDPR

La fotografia: Pixabay, copyright by JanBaby, 2168234, CC0 1.0

La protezione dei dati non è un argomento nuovo, né per la Germania né per l’Europa. Sin dal 1995 esiste la Direttiva 95/46 CE, che era interpretata in ogni Paese a modo proprio modo. Per cui nel 2012 fu elaborata la prima riforma (EU-Datenschutzreform).

Ulteriori annuali modifiche e riforme erano necessarie (particolarmente 2016) prima dell’entrata effettiva in vigore del GDPR, nel 2018. Noi vi spieghiamo i concetti base del GDPR, in internet invece si trovano tutti i regolamenti e le linee guida per la lettura in tedesco e inglese. È presente anche, nella pagina del “European Data Protection Supervisor”, una Timeline riguardo l’introduzione del GDPR.

Motivo e scopo della protezione dei dati

Nel GDPR non vengono protetti prevalentemente i dati ma le persone fisiche e la loro sfera personale. Concretamente l’articolo 1 del GDPR stabilisce che le norme tutelano i diritti e le libertà fondamentali delle persone fisiche, con particolare attenzione alla protezione dei dati personali.

Chi deve proteggere i dati?

Chiunque abbia che fare con i dati personali, o perché li elabora o li salva; quindi ogni azienda che salva dati clienti e/o dipendenti deve adempire al GDPR.  Perciò, l’articolo 2 GDPR stabilisce l’ambito di applicazione materiale, stabilendo che chiunque tratti dati personali deve rispettare il Regolamento. I principi di trattamento sono regolamentati negli articoli 5-11.

Che cosa bisogna fare?

Il Regolamento spiega in modo molto esaustivo a cosa devi stare attento e che cosa devi implementare come, per esempio, le indicazioni indispensabili sulla tua pagina Web (vedi il nostro articolo dedicato) e l’introduzione del Responsabile per la protezione dei dati. Puoi trovare aiuto anche sulla pagina della Camera di commercio oppure nella pagina del Garante.

È importante rispettare e garantire le regole base per il trattamento dei dati come da art. 5 GDPR.

  • Per esempio, devi trattare i dati in modo lecito, corretto e trasparente nei confronti dell‘interessato.
  • Inoltre, puoi utilizzarli soltanto per finalità determinate, esplicite e legittime. I dati acquisiti devono essere limitati a quanto necessario rispetto alle finalità.
  • Devi prestare attenzione affinché i dati siano esatti e, nel caso, aggiornati.
  • La conservazione dei dati è consentita solo per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (esempio: l’esecuzione di un contratto)
  • Infine devi trattare i dati in modo da essere protetti da un trattamento o accesso non autorizzato, dalla perdita o la distruzione. Per questo devi implementare opportune precauzioni organizzative e tecniche.
  • In aggiunta, il responsabile del trattamento deve essere in grado di dimostrare che il Regolamento viene rispettato.

Che cosa sono i dati personali?

L‘articolo 4 del GDPR spiega che cosa si intende per dati personali. Si tratta di qualsiasi informazione riguardante una persona fisica identificata o tramite i quali possa essere identificata. Quindi quei dati che permettono una identificazione diretta o indiretta come per esempio il nome, un numero identificativo, dati relativi all’ubicazione, l’identificativo online, elementi caratteristici della identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Chi è il Responsabile per la protezione dei dati (RPD)?

Il Regolamento (art.37-39) definisce quando si deve incaricare un responsabile per la protezione dei dati, quale status gli deve essere attribuito e quale compiti deve svolgere. Il ruolo del RPD può essere ricoperto da un tuo dipendente interno o da un consulente esterno che ha le competenze e le qualifiche necessarie.

Il RPD sorveglia l’osservanza del regolamento all’interno dell’azienda, collabora e consiglia il titolare e il responsabile del trattamento e coopera con le autorità di controllo. Funge da punto di contatto per gli interessati e le autorità e, se del caso, si occupa di segnalare al Garante una perdita di dati.

Che cos’è la valutazione d’impatto sulla protezione dei dati?

La valutazione d’impatto sulla protezione dei dati, in base all’art. 35, deve essere effettuata se il trattamento dei dati rappresenta un alto rischio per i diritti e le libertà degli interessati, per esempio nell’implementazione di nuove tecnologie o di nuovi metodi di trattamento o a causa della grossa quantità dei dati.

La valutazione d’impatto contiene una descrizione sistematica del trattamento e delle finalità oltre alle misure previste per affrontare i rischi, incluso le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati. Puoi trovare aiuto e alcune Checklist sulle pagine internet del Garante o anche della Camera di Commercio.

Che cosa sono le misure tecniche e organizzative?

i concetti di base del GDPR

La fotografia: Pixabay, copyright by Pixel2013, 4031973, CC0 1.0

L’art.32 GDPR richiede che tu elabori i dati in modo adeguato agli attuali standard tecnologici. Perciò devi predisporti di tutte le misure tecniche che garantiscono un trattamento sicuro.

Poiché, nella tua valutazione d’impatto hai descritto il trattamento, valutato il rischio e stabilito le contromisure, devi ora metterli in pratica. Al riguardo trovi informazioni e facsimili in internet o da aziende esperte del settore.

Mettendo in pratica le contromisure dovrai distinguere il lato tecnico, che viene supportato dal tuo reparto IT (sicurezza server, crittografia, protezione degli accessi, antivirus etc.) dal lato organizzativo, che va implementato tramite la gestione aziendale (gestione dei dati, documentazione, stoccaggio, distruzione etc.).

Esempi:

  • Pseudonimizzazione dei dati e crittografia
  • Controllo dei sistemi sulla capacità e capienza (salvataggio del volume dei dati e della elaborazione)
  • Garantire il recupero dei dati accidentalmente cancellati
  • Regolamenti per gli accessi (fisici e virtuali) alla sala server, ai PC, ai dati e programmi
  • Check di sicurezza: furto con scasso, danni d’acqua e fuoco, attacco da hacker

L’utilità della protezione attiva dei dati

L’utilità della protezione dei dati si riscontra chiaramente nel diritto di ogni cittadino a decidere se i propri dati personali possono essere trattati o no e, per questo, l‘ art. 6 GDPR richiede, che l‘ interessato conferisca il suo consenso al trattamento e, come regolamenta l’art.7, in modo volontario. Inoltre, va ricordato che il responsabile del trattamento deve essere in grado di dimostrarlo.

Agli interessati sono stati concessi, in aggiunta, tanti diritti (art. 12- 23 GDPR): ciò rende il trattamento dei dati trasparente. Gli interessati possono chiedere informazioni riguardo il trattamento, richiedere la correzione, la limitazione o la cancellazione dei propri dati. In più può chiedere la restituzione dei dati personali in formato elettronico (diritto alla portabilità dei dati) oppure revocare il suo consenso al trattamento dato.

Controllo e autocontrollo (Autorità di controllo e Audit)

I responsabili insieme al RPD garantiscono, all’interno della tua azienda, che tutte le regole siano applicate e rispettate. Il RPD o il responsabile del trattamento dei dati collabora con le Autorità e deve segnalare ogni eventuale caso di violazione del GDPR.

I compiti delle Autorità di controllo sono descritti dettagliatamente nel capitolo VI del GDPR (art.51-59 GDPR).

Fatti salvi i controlli dell’autorità, possono essere effettuati controlli in occasione di certificazioni volontarie che attestano la conformità dell’azienda al GDPR. Tuttavia, è bene notare che questa certificazione non ti solleva dalla continua responsabilità per l’applicazione e rispetto del Regolamento. Diverse istituzioni offrono tale certificazione e aziende qualificate eseguono GDPR-Audit.

Attenzione: Le certificazioni, come da art. 42 DSGVO, devono essere effettuate da Istituti di certificazione oppure dal Garante.

Gli Istituti che effettuano una certificazione GDPR, devono essere accreditate per poter rilasciare la certificazione. L’accreditamento avviene nel momento in cui l’Istituto dimostra al Garante di essere indipendente, competente in materia e senza conflitti d’interesse.

I concetti di base del GDPR

sono, se compresi correttamente, facile da introdurre in ogni e qualsiasi attività commerciale. Noi di WB Trade-it ti aiutiamo in modo attivo e trasparente nella concreta implementazione del GDPR nella tua azienda.  

Contattaci subito per una prima consulenza gratuita e senza impegno.