Questo sito utilizza i cookie. Visualizza la nostra informativa sui cookie
Chiudere

Regolamento UE generale sulla protezione dei dati (RGPD)

Il regolamento UE generale sulla protezione dei dati (RGPD) é entrata in vigore il 25 maggio 2018, sostituendo tutte le attuali leggi nazionali di protezione dei dati degli stati membri UE. Il regolamento, dall’ambito rilevante e ampiamente applicabile, apporta un approccio del XXI secolo alla protezione dei dati. Amplia i diritti dei singoli a controllare in che modo le loro informazioni personali vengono raccolte e trattate e pone sulle organizzazioni un certo numero di obblighi, affinché siano più responsabili in materia di protezione dei dati.

La conformità RGPD non riguarda solo spuntare caselle; il regolamento richiede che dimostriate la conformità con i principi di protezione dei dati.  Questo comporta l’adozione di un approccio alla protezione dei dati basato sul rischio, garantisce politiche adeguate e che le procedure vengano implementate per affrontare i principi di trasparenza e responsabilità, così come i diritti delle persone e la costituzione di una cultura sul posto di lavoro che mira alla privacy e alla sicurezza dei dati.

Attuando un quadro normativo adeguato, non solo sarete in grado di evitare sanzioni significative e danni alla reputazione, ma anche di dimostrare ai clienti che siete affidabili e responsabili, e ricavare valore aggiunto dai dati che avete ottenuto.

I vantaggi commerciali del RGPD

  • Costruisce la fiducia dei clienti
  • Migliora l’immagine e la reputazione del marchio
  • Migliora la governance dei dati
  • Migliora la sicurezza delle informazioni
  • Migliora il vantaggio competitivo
 

Risorse RGPD gratuite

Libro verde RGPD

Scarica

 

Infografica RGPD

Scarica

 

Webinar RGPD

Scarica

 

Report RGPD 2017

Scarica
 

Ulteriori informazioni sui passaggi necessari per prepararvi al RGPD e dimostrare la vostra conformità. Guarda la lista di controllo >>

 

Gli elementi chiave del RGPD

Dati personali

Il RGPD si applica ai dati personali tra cui qualsiasi informazione, in qualsiasi formato, che può direttamente o indirettamente individuare una persona fisica.

Il regolamento mette in atto controlli più solidi nell’elaborazione di categorie specifiche dei dati personali. La novità è rappresentata dall’inserimento di dati genetici e biometrici.

Dati personali

Nome
Indirizzo 
Indirizzo email
Foto 
Indirizzo IP
Dati di localizzazione
Comportamento online (cookies)
Dati di profilo e analitici

Categorie speciali di dati personali

Razza
Religione
Opinioni politiche
Appartenenza sindacale
Orientamento sessuale
Informazioni sulla salute
Dati biometrici
Dati genetici

 

Ambito di applicazione più amplio

Il RGPD si applica a tutte le organizzazioni UE - attività commerciali, enti di beneficenza o pubblici - che raccolgono, contengono o trattano dati personali dei residenti nell’UE, anche se non sono cittadine UE. 

Le organizzazioni che si trovano fuori dall’UE, offrono merci o servizi ai residenti UE e controllano i loro comportamenti o trattano i loro dati personali, saranno soggetti al RGPD.

I fornitori dei servizi (processori dei dati) che trattano i dati su incarico di un’organizzazione rientrano tra le competenze del RGPD e avranno specifici doveri di conformità. Un esempio potrebbe essere un’azienda che si occupa del vostro libro paga o un fornitore cloud che offre la memorizzazione dei dati.

 

Principi della protezione dei dati

I sei principi sulla protezione dei dati descrivono le modalità di trattamento dei dati personali:

  • in modo legale, corretto e trasparente
  • solamente per specifici scopi legittimi
  • adeguati, pertinenti e limitati a quanto necessario
  • esatti e aggiornati
  • archiviazione solo per il tempo necessario
  • garanzia di giusta sicurezza, integrità e riservatezza

 

Responsabilità e governance

Le aziende devono essere in grado di dimostrare conformità al RGPD mediante:

  • costituzione della struttura della governance con funzioni e responsabilità
  • conservazione della documentazione dettagliata di tutte le operazioni di elaborazione dei dati
  • documentazione delle politiche e procedure della protezione dei dati
  • valutazioni dell’impatto sulla protezione dei dati (DPIA) per le operazioni di processo ad alto rischio Per saperne di più >>
  • Applicare misure appropriate per la sicurezza dei dati personali.
  • Formazione e consapevolezza dello staff.
  • Se necessario, nominare un addetto alla protezione dei dati.

 

Protezione dei dati  fin dalla progettazione e protezione di default

È necessario creare pratiche efficaci e attività di tutela della protezione dei dati, a partire dall’inizio di tutti i processi:

  • la protezione dei dati deve essere presa in considerazione dalla fase di progettazione di qualunque nuovo processo, sistema o tecnologia.
  • La DPIA è parte integrante della privacy fin dalla progettazione.
  • La modalità di raccolta di default deve rilevare solamente i dati personali necessari per uno scopo specifico.

 

Trattamento legale

Dovete identificare e documentare le basi legali per qualsiasi trattamento di dati personali. Le basi legali sono:

  • diretta approvazione da parte della persona;
  • necessità di concludere un contratto;
  • protezione degli interessi fondamentali della persona;
  • obblighi fondamentali dell’organizzazione;
  • interesse pubblico; e
  • interessi legittimi dell’organizzazione.

 

Consenso informato

Sull’ottenimento del consenso vigono rigide regole:

  • il consenso deve essere liberamente fornito, specifico, consapevole e inequivocabile.
  • La richiesta di consenso deve essere comprensibile, con un linguaggio chiaro e semplice.
  • Il silenzio, le caselle pre-compilate e l’inattività non saranno considerati sufficienti come consenso.
  • Il consenso può essere revocato in qualsiasi momento.
  • Il consenso per i servizi online a ragazzi al di sotto di 13 anni è valido solo con l’autorizzazione dei genitori. 
  • Le organizzazioni devono essere capaci di dimostrare il consenso ottenuto.

 

Diritti sulla privacy delle persone

I diritti delle persone sono rafforzati e ampliati in molteplici aree importanti:

  • diritto di accesso ai dati personali attraverso le domande di accesso dell’interessato.
  • Diritto di correggere dati personali imprecisi.
  • In determinati casi, diritto di eliminare i dati personali.
  • Diritto di obiezione.
  • Diritto di trasferire i dati personali da un provider di servizi a un altro (portabilità dei dati).

 

Trasparenza e avvisi sulla privacy

Le organizzazioni devono essere chiare e trasparenti su come i dati personali vengono trattati, da chi e perché.

  • Gli avvisi sulla privacy devono essere forniti in una forma concisa, trasparente e facilmente accessibile, con un linguaggio chiaro e semplice.

 

Trasferimento di dati fuori dall’UE

Il trasferimento dei dati personali fuori dall’UE è permesso solo:

  • ove l’UE ha indicato un paese come dotato di un livello di protezione adeguato;
  • attraverso un contratto tipo o integrando regole aziendali; o 
  • conformandosi a un meccanismo di certificazione approvato, ad esempio Privacy Shield UE-US.

 

Sicurezza e violazione dei dati

I dati personali devono essere protetti dal trattamento non autorizzato e contro perdita accidentale, distruzione o danneggiamento.

  • La violazione dei dati deve essere resa nota dall’autorità di protezione entro 72 ore dalla constatazione.
  • Le persone coinvolte dovrebbero essere informate laddove esista un alto rischio per i loro diritti e le loro libertà, ad esempio furto di identità, sicurezza personale.

 

Responsabile protezione dei dati (DPO)

La nomina di un DPO è obbligatoria per:

  • autorità pubbliche;
  • organizzazioni coinvolte in processi ad alto rischio; e 
  • organizzazioni di categorie specifiche di elaborazione dei dati.

Il DPO ha degli incarichi stabiliti:

  • informare e consigliare le organizzazioni riguardo ai loro obblighi.
  • Controllare la conformità, includendo l’aumento di consapevolezza, formazione e controllo dello staff.
  • Collaborare con le autorità di protezione dei dati e fungere da punto di contatto.
 

Applicazione e sanzioni del RGPD 

Il RGPD ha attratto i media e gli interessi commerciali a causa delle maggiori sanzioni amministrative dovute a non conformità. Non tutte le violazioni del RGPD comportano serie sanzioni.

Oltre al potere di imporre sanzioni, l’autorità di regolamentazione ha una serie di poteri correttivi per far rispettare il RGPD. Questi includono l’emissione di avvisi e richiami, l’imposizione di un divieto temporaneo o permanente del trattamento dei dati, la richiesta di rettifica, la restrizione o la cancellazione dei dati e la sospensione del trasferimento di dati in paesi terzi.

I costi della non conformità

 

Sanzioni amministrative

Le sanzioni amministrative sono facoltative anziché obbligatorie; devono essere applicate caso per caso e devono essere ‘efficaci, proporzionate e dissuasive’.

Ci sono due livelli di sanzioni amministrative che possono essere imposte:

  • 1) fino a 10 milioni di euro, ovvero il 2% del fatturato annuo - a seconda di quale sia quello più alto;
  • 2) fino a 20 milioni di euro, ovvero il 4% del fatturato annuo - a seconda di quale sia quello più alto.

Le sanzioni sono basate su determinati articoli del regolamento che le organizzazioni hanno violato. La violazione degli obblighi delle organizzazioni, inclusa la violazione della sicurezza dei dati, è considerata come livello inferiore, mentre le violazioni dei diritti della privacy di una persona sono considerate di livello maggiore. 

 

Responsabilità per danni

Il RGPD dà inoltre diritto al risarcimento dei danni materiali e/o immateriali, derivati da una violazione del RGPD. In alcuni casi, gli organismi senza scopo di lucro possono intraprendere azioni rappresentative per conto di persone. Ciò spalanca le porte a rivendicazioni di massa in caso di violazioni su larga scala. 

 

In che modo IT Governance può aiutarvi a prepararvi al RGPD

IT Governance, fornitore leader a livello mondiale di soluzioni IT governance, soluzioni di gestione del rischio e conformità, è in prima linea nell’aiutare le organizzazioni a risolvere globalmente le sfide della conformità RGPD.

Per alcune pratiche linee guida alla conformità con il RGPD, leggete i nostri passaggi chiave. Guarda la lista di controllo  >>

Offriamo soluzioni complete, servizi e competenze per aiutarvi a soddisfare i vostri obiettivi relativi al RGPD.

 

 

Parlare con un consulente

Si prega di contattare il nostro team RGPD per ottenere consigli e assistenza sui nostri prodotti e servizi