Regolamento generale sulla protezione dei dati (GDPR)

Il Regolamento (UE) 2016/679 (anche conosciuto come GDPR o con l’acronimo RGPD, in Italia) ha iniziato ad avere efficacia a partire dal 25 maggio 2018. La nuova legge sulla privacy dei dati personali ha un ambito di applicazione più ampio rispetto alla normativa precedente e apporta un approccio nuovo alla protezione dei dati. Amplia i diritti dei singoli nel controllare in che modo le loro informazioni personali vengono raccolte e trattate e fa ricadere sulle organizzazioni un maggior numero di obblighi, affinché siano più responsabili in materia di trattamento e protezione dei dati.


Come adeguarsi e conformarsi al GDPR

Per molte organizzazioni, l’adeguamento al GDPR durerà un anno, se non di più. Si dovrebbe iniziare dando priorità alle aree in cui una mancata azione lascerebbe l’organizzazione esposta a rischi e pericoli. Nel caso in cui si verifichi una violazione, poter dimostrare di aver iniziato il percorso di conformità e adeguamento alla normativa potrebbe potenzialmente contribuire a ridurre la sanzione prevista.

Indipendentemente dalla fase del progetto di conformità nella quale ti trovi, IT Governance può aiutarti a minimizzare il rischio di sanzioni. Parla con uno dei nostri esperti per scoprire come possiamo aiutare la tua organizzazione a conformarsi al Regolamento.

Parla con un esperto

I requisiti principali

In sintesi, ecco alcune delle principali modifiche introdotte dalla normativa:?p>

  • Istituisci una struttura della governance con funzioni e responsabilità;
  • Conserva la documentazione dettagliata relativa a tutte le operazioni di trattamento dei dati;
  • Documenta le policy e le procedure relative alla protezione dei dati;
  • Effettua la valutazione dell’impatto sulla protezione dei dati (DPIA) per le operazioni di processo ad alto rischio.
    Per saperne di più >>
  • Applica misure appropriate per la sicurezza dei dati personali;
  • Pianifica corsi di formazione e di sensibilizzazione del personale;
  • Se necessario, nomina un responsabile della protezione dei dati (DPO)

Scopri la checklist di passaggi da seguire per adeguarsi al Regolamento >>

  • Trattati in modo lecito, corretto e trasparente;
  • Raccolti per finalità determinate, esplicite e legittime;
  • Adeguati, pertinenti e limitati a quanto necessario;
  • Esatti e aggiornati;
  • Conservati per il tempo necessario;
  • Trattati in modo da garantire sicurezza, integrità e riservatezza.

  • Il consenso diretto dell’interessato;
  • La necessità di eseguire un contratto;
  • La necessità di adempiere un obbligo legale;
  • La protezione degli interessi vitali dell’interessato;
  • La necessità di perseguire un interesse pubblico;
  • La necessità di perseguire il legittimo interesse dell’organizzazione.

  • Il consenso deve essere liberamente fornito, specifico, consapevole e inequivocabile.
  • La richiesta di consenso deve essere comprensibile, con un linguaggio chiaro e semplice.
  • Il silenzio, le caselle precompilate e l’inattività non sono considerate valide modalità per ottenere il consenso.
  • Il consenso può essere revocato in qualsiasi momento.
  • Il consenso ai servizi online per i minori di 14 anni è valido solo con l’autorizzazione dei genitori.
  • Le organizzazioni devono essere capaci di dimostrare il consenso ottenuto.

  • Diritto di accesso ai propri dati tramite domande di accesso.
  • Diritto di correggere i propri dati personali inesatti.
  • In determinati casi, diritto di chiedere la cancellazione dei dati personali.
  • Diritto di opposizione.
  • Diritto di trasferire i dati da un provider di servizi ad un altro (portabilità dei dati).

  • L’informativa sulla privacy deve essere fornita in forma concisa, trasparente e facilmente accessibile, con un linguaggio chiaro e semplice.

  • Se l’UE ha indicato che il paese verso cui sono trasferiti i dati è dotato di un livello di protezione adeguato;
  • Attraverso clausole contrattuali tipo o adottando delle norme vincolanti d’impresa; o
  • Adeguandosi ad un meccanismo di certificazione approvato, ad esempio il Privacy Shield UE-US.

  • La violazione dei dati personali deve essere notificata all’autorità di controllo (Garante Privacy) entro 72 ore dalla scoperta.
  • Le persone i cui dati personali sono stati violati dovrebbero essere informate nel caso in cui la violazione possa rappresentare un rischio elevato per i loro diritti e le loro libertà, come il furto di identità.

  • Le autorità pubbliche;
  • Le organizzazioni che effettuano trattamenti ad alto rischio; e
  • Le organizzazioni che trattano categorie particolari di dati personali.

Il DPO si occupa di:

  • Informare e consigliare le organizzazioni in merito ai loro obblighi.
  • Controllare la conformità, preoccupandosi di sensibilizzare il personale al rispetto degli obblighi investendo nella formazione, ed eseguendo audit sulla protezione dei dati.
  • Collaborare con l’autorità di controllo (Garante Privacy) e fungere da punto di contatto.

Maggiori informazioni sul ruolo del responsabile della protezione dei dati (DPO) >>

Guarda il testo completo del GDPR >>


Cosa si intende per dati personali?

Il GDPR si applica ai dati personali, ossia tutte le informazioni, in qualsiasi formato, che permettono di identificare direttamente o indirettamente una persona fisica.

La normativa prevede controlli più severi in merito al trattamento delle categorie particolari di dati personali, tra cui figurano i dati genetici e biometrici.

Dati personali

  • Nome
  • Indirizzo
  • Indirizzo email
  • Fotografia
  • Indirizzo IP
  • Dati relativi all’ubicazione
  • Cookies
  • Dati di profilazione e di analisi

Categorie particolari di dati personali

  • Origine razziale o etnica
  • Credo religioso
  • Opinioni politiche
  • Appartenenza sindacale
  • Orientamento sessuale
  • Dati relativi alla salute
  • Dati biometrici
  • Dati genetici

A quali organizzazioni si applica il GDPR?

Il GDPR si applica a tutte le organizzazioni europee – si parla di attività commerciali, enti di beneficenza o enti pubblici - che raccolgono, conservano o trattano i dati personali dei residenti nell’UE, indipendentemente dalla loro nazionalità.

Sono soggette alla normativa anche le organizzazioni che si trovano al di fuori dell’UE ma che offrono beni o servizi ai residenti nell’UE, che controllano i loro comportamenti o che trattano i loro dati personali.

I fornitori di servizi (responsabili del trattamento) che trattano i dati su incarico di un’organizzazione (titolare del trattamento), rientrano nell’ambito di applicazione del Regolamento (UE) 2016/679 e hanno specifici obblighi di conformità. Un esempio è dato dall’azienda che si occupa della gestione delle buste paga o un fornitore cloud che offre la memorizzazione dei dati di un’organizzazione cliente.

Scopri cosa fare per adeguare la tua organizzazione al Regolamento >>


L’adeguamento al GDPR comporta numerosi vantaggi

La nuova legge sulla privacy promuove una maggiore trasparenza e accountability in merito al trattamento dei dati personali e mira ad aumentare la fiducia del pubblico dando agli interessati maggiore controllo sui loro dati. Adeguandosi al Regolamento, le organizzazioni miglioreranno la loro reputazione nel settore e saranno in grado di costruire relazioni di maggior fiducia con i clienti esistenti e quelli potenziali.

Alcuni dei vantaggi commerciali che si ottengono con la conformità al GDPR sono::

  • Costruire relazioni di fiducia con i clienti
  • Migliorare l’immagine e la reputazione dell’organizzazione o del brand
  • Migliorare la governance dei dati
  • Migliorare la sicurezza delle informazioni
  • Migliorare il vantaggio competitivo

Segui la nostra checklist per l’adeguamento della tua azienda al GDPR >>


In che modo IT Governance ti aiuta ad adeguare la tua organizzazione al GDPR

IT Governance, fornitore leader a livello mondiale di soluzioni per la governance IT, di gestione del rischio e di conformità, è in prima linea nell’aiutare le organizzazioni a risolvere le sfide poste dalla conformità al Regolamento.

Scopri la nostra ampia gamma di soluzioni, servizi e prodotti che ti permettono di raggiungere i tuoi obiettivi di conformità al GDPR.

Scarica le nostre risorse gratuite

Acquista i nostri prodotti e servizi


Parla con un esperto

Contatta il nostro team di consulenti esperti di GDPR e protezione dei dati per qualsiasi domanda o assistenza sui nostri prodotti e servizi.

su
Risk Assessment
Workshop
- 22 Oct