Questo sito utilizza i cookie. Visualizza la nostra informativa sui cookie
Chiudere

Regolamento generale europeo sulla protezione dei dati (RGPD)

Il regolamento generale sulla protezione dei dati (RGPD) ha iniziato ad avere efficacia a partire dal 25 maggio 2018. Il Regolamento ha un ambito di applicazione ampio e apporta un approccio nuovo alla protezione dei dati. Amplia i diritti dei singoli nel controllare in che modo le loro informazioni personali vengono raccolte e trattate e fa ricadere sulle organizzazioni un certo numero di obblighi, affinché siano più responsabili in materia di protezione dei dati.


Inizia oggi il percorso alla conformità RGPD

La conformità al RGPD non è solo un esercizio meccanico in cui si spuntano le caselle delle cose fatte; il regolamento richiede che dimostriate conformità con i principi della protezione dei dati. Questo comporta l’adozione di un approccio alla protezione dei dati basato sul rischio, che garantisca politiche adeguate e l’implementazione di procedure per affrontare i principi di trasparenza e responsabilità, così come i diritti delle persone e la diffusione di una cultura che miri alla privacy e alla sicurezza dei dati sul posto di lavoro.

Per molte organizzazioni, il raggiungimento della conformità durerà un anno, se non di più. Si dovrebbe iniziare dando priorità alle aree in cui una mancata azione lascerebbe l’organizzazione esposta. Nel caso in cui si verifichi una violazione, dimostrare di aver iniziato il percorso alla conformità potrebbe contribuire a ridurre la potenziale sanzione.

Scopri la nostra gamma di prodotti e servizi RGPD che possono aiutare la tua organizzazione a raggiungere la conformità.

Acquista i nostri prodotti e servizi RGPD

 

I vantaggi commerciali del RGPD

  • Aumenta la fiducia dei clienti
  • Migliora l’immagine e la reputazione dell’azienda
  • Migliora la governance dei dati
  • Migliora la sicurezza delle informazioni
  • Aumenta il vantaggio competitivo
 

Dati personali

Il RGPD si applica ai dati personali. È considerato dato personale qualsiasi informazione, in qualsiasi formato, che può identificare direttamente o indirettamente una persona fisica.

Il regolamento prevede controlli più severi nel trattamento delle categorie particolari di dati personali. La novità è rappresentata dall’inserimento dei dati genetici e biometrici tra le categorie dei dati particolari.

Dati personali

Nome
Indirizzo 
Indirizzo email
Foto 
Indirizzo IP
Dati di localizzazione
Comportamento online (cookies)
Dati di profilazione e analitici

Categorie particolari di dati personali

Razza
Religione
Opinioni politiche
Appartenenza sindacale
Orientamento sessuale
Informazioni sulla salute
Dati biometrici
Dati genetici

 

Ambito di applicazione più ampio

Il RGPD si applica a tutte le organizzazioni europee - attività commerciali, enti di beneficenza o enti pubblici - che raccolgono, conservano o trattano dati personali dei residenti nell’UE, anche se non sono cittadini europei.

Sono soggette al RGPD anche le organizzazioni che si trovano fuori dall’UE e offrono beni o servizi ai residenti UE, o controllano i loro comportamenti e trattano i loro dati personali.

I fornitori di servizi (responsabili del trattamento) che trattano i dati su incarico di un’organizzazione (titolare del trattamento), rientrano nell’ambito del RGPD e hanno specifici obblighi di conformità. Un esempio potrebbe essere l’azienda che si occupa della gestione delle buste paga o un fornitore cloud che offre la memorizzazione dei dati.

 

Principi della protezione dei dati

I sei principi sulla protezione dei dati (Art. 5) descrivono come dovrebbero essere trattati i dati personali:

  • In modo lecito, corretto e trasparente
  • Solamente per finalità determinate, espliciti e legittime
  • Adeguati, pertinenti e limitati a quanto necessario
  • Esatti e aggiornati
  • Conservati solo per il tempo necessario
  • Trattati in modo da garantire sicurezza, integrità e riservatezza

 

Responsabilità e governance

Le aziende devono essere in grado di dimostrare conformità al RGPD mediante:

  • Costituzione della struttura della governance con funzioni e responsabilità;
  • Conservazione della documentazione dettagliata di tutte le operazioni di elaborazione dei dati;
  • Documentazione delle politiche e procedure della protezione dei dati;
  • Valutazioni dell’impatto sulla protezione dei dati (DPIA) per le operazioni di processo ad alto rischio.
  • Per saperne di più >>
  • Applicare misure appropriate per la sicurezza dei dati personali;
  • Formazione e consapevolezza dello staff;
  • Se necessario, nominare un addetto alla protezione dei dati.

 

Protezione dei dati fin dalla progettazione (by design) e protezione per impostazione predefinita (by default)

È necessario creare pratiche efficaci e attività a tutela della protezione dei dati, a partire dall’inizio di tutti i processi:

  • La protezione dei dati deve essere presa in considerazione dalla fase di progettazione di qualunque nuovo processo, sistema o tecnologia.
  • La DPIA è parte integrante della protezione dei dati fin dalla progettazione.
  • La modalità di raccolta standard deve raccogliere solamente i dati personali necessari per uno scopo specifico.

 

Trattamento lecito

Si deve identificare e documentare la base di liceità utilizzata per ogni trattamento di dati personali. Le basi di liceità sono:

  • Consenso diretto della persona;
  • Necessità di eseguire un contratto;
  • Necessità di adempiere un obbligo legale;
  • Protezione degli interessi vitali della persona;
  • Interesse pubblico; e
  • Legittimi interessi dell’organizzazione.

 

Consenso informato

Sono in vigore regole rigide per ottenere il consenso:

  • Il consenso deve essere liberamente fornito, specifico, consapevole e inequivocabile.
  • La richiesta di consenso deve essere comprensibile, con un linguaggio chiaro e semplice.
  • Il silenzio, le caselle pre-compilate e l’inattività non sono considerati valide modalità per ottenere il consenso.
  • Il consenso può essere revocato in qualsiasi momento.
  • Il consenso per i servizi online dei minori di 16 anni è valido solo con l’autorizzazione dei genitori.
  • Le organizzazioni devono essere capaci di dimostrare il consenso ottenuto.

 

Diritti delle persone sulla privacy

I diritti delle persone sono rafforzati e ampliati:

  • Diritto di accesso ai dati con domande di accesso dell’interessato;
  • Diritto di correggere i propri dati personali inesatti;
  • In determinati casi, diritto chiedere la cancellazione dei dati personali;
  • Diritto di limitazione del trattamento
  • Diritto di trasferire i dati da un provider di servizi a un altro (portabilità dei dati);
  • Diritto di opposizione.

 

Trasparenza e informative sulla privacy

Le organizzazioni devono essere chiare e trasparenti su chi tratta i dati personali, come e perché.

  • Le informative sulla privacy devono essere fornite in forma concisa, trasparente e facilmente accessibile, con un linguaggio chiaro e semplice.

 

Trasferimento di dati fuori dall’UE

Il trasferimento dei dati personali fuori dall’UE è permesso solo:

  • Se l’UE ha indicato che il paese in cui sono trasferiti i dati è dotato di un livello di protezione adeguato;
  • Attraverso clausole contrattuali tipo o adottando delle norme vincolanti d’impresa; o
  • Conformandosi a un meccanismo di certificazione approvato, ad esempio il Privacy Shield UE-US.

 

Sicurezza e violazione dei dati

I dati personali devono essere protetti dal trattamento non autorizzato e contro perdita accidentale, distruzione o danneggiamento.

  • La violazione di dati personali deve essere notificata all’autorità di controllo entro 72 ore dalla scoperta.
  • Le persone i cui dati personali sono stati violati dovrebbero essere informate se c’è un alto rischio per i loro diritti e le loro libertà, ad esempio in caso di furto di identità.

 

Responsabile protezione dei dati (DPO)

La nomina di un RDP è obbligatoria per:

  • Le autorità pubbliche;
  • Le organizzazioni che effettuano trattamenti ad alto rischio; e
  • Le organizzazioni che trattano dati particolari.

Il RDP ha degli incarichi stabiliti:

  • Informare e consigliare le organizzazioni rispetto ai loro obblighi.
  • Controllare la conformità, preoccupandosi di aumentare la consapevolezza dello staff investendo nella formazione, ed eseguendo audit sulla protezione dei dati.
  • Collaborare con le autorità di controllo e fungere da punto di contatto.

Inizia oggi il tuo percorso alla conformità RGPD »

 

In che modo IT Governance può aiutarti a preparare la tua organizzazione al RGPD

IT Governance, fornitore leader a livello mondiale di soluzioni IT governance, soluzioni di gestione del rischio e della conformità, è in prima linea nell’aiutare le organizzazioni a risolvere globalmente le sfide della conformità al RGPD.

Scopri la nostra gamma di soluzioni, servizi e prodotti che ti permettono di raggiungere i tuoi obiettivi di conformità RGPD.

Ulteriori informazioni sui passaggi necessari per prepararvi al RGPD e dimostrare la vostra conformità. Guarda la lista di controllo >>

 

Acquista i nostri prodotti e servizi RGPD

 

Parla con un esperto

Contatta il nostro team RGPD per consigli e assistenza sui nostri prodotti e servizi