A partire dal 25 maggio 2018 è direttamente applicabile in Italia come in tutti gli Stati membri il Regolamento Ue 2016/679, noto come GDPR, relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali. La normativa prevede una serie di interventi atti a garantire la protezione dei dati aziendali legati all’aggiornamento del sistema gestionale aziendale (Business nelle ultime versioni è stato adeguato alla normativa), alla verifica delle protezioni hardware (firewall ed apparecchiature di rete) e software (antivirus, sistemi operativi aggiornati, etc.) ed una definizione di procedure aziendali legate al trattamento dei dati. Sono state fissate sanzioni pecuniarie estremamente pesanti per le infrazioni più gravi: la sanzione oscillerà tra il 4% del fatturato ed i 20 milioni di euro.
Quali dati possono essere trattati e in quali condizioni?
Il tipo e la quantità di dati personali che un’azienda/organizzazione può trattare dipendono dal motivo del trattamento (motivo giuridico utilizzato) e da ciò che si desidera fare con essi. L’azienda/organizzazione deve rispettare diverse norme chiave, tra cui:
- i dati personali devono essere trattati in modo lecito e trasparente, garantendo l’equità nei confronti delle persone di cui si trattano i dati («liceità, correttezza e trasparenza»)
- occorre avere finalità specifiche per il trattamento dei dati e l’azienda/organizzazione deve indicarle alle persone quando si raccolgono i loro dati personali. Un’azienda/organizzazione non può raccogliere dati personali per scopi non definiti («limitazione delle finalità»)
- l’azienda/organizzazione può raccogliere e trattare solo i dati personali necessari a tale scopo («minimizzazione dei dati»)
- l’azienda/organizzazione deve assicurarsi che i dati personali siano esatti e aggiornati, tenendo conto delle finalità per le quali vengono trattati, e, in caso contrario, correggerli («accuratezza»)
- l’azienda/organizzazione non può utilizzare i dati personali per altri scopi non compatibili con la finalità originaria della raccolta
- l’azienda/organizzazione deve garantire che i dati personali siano conservati per un periodo non superiore a quello necessario agli scopi per i quali sono stati raccolti («limiti di tempo per la conservazione»)
- l’azienda/organizzazione deve predisporre adeguate misure tecniche e organizzative che garantiscano la sicurezza dei dati personali, compresa la protezione contro il trattamento non autorizzato o illecito e contro la perdita accidentale, la distruzione o il danno, utilizzando tecnologie appropriate («integrità e riservatezza»)
Esempio
L’azienda/organizzazione gestisce un’agenzia di viaggi. Quando raccogli i dati personali dei clienti, deve spiegare in modo chiaro e semplice perché ha bisogno di questi dati, come li userà e per quanto tempo intende conservarli. Il trattamento deve essere adattato in modo da rispettare i principi fondamentali della protezione dei dati.
I dati possono essere elaborati per qualsiasi finalità?
No. Lo scopo del trattamento dei dati personali deve e le persone di cui si stanno trattando i dati devono essere informate. Non si può semplicemente indicare che i dati personali saranno raccolti e trattati. Si tratta del principio della «limitazione delle finalità».
Quali informazioni devono essere fornite agli individui di cui vengono raccolti i dati?
Al momento della raccolta dei dati, le persone devono essere informate chiaramente almeno su quanto segue:
- chi è l’azienda/organizzazione (i dati di contatto ed eventualmente quelli del responsabile della protezione dei dati)
- perché l’azienda/organizzazione utilizzerà i loro dati personali (finalità)
- le categorie di dati personali interessate
- la giustificazione giuridica per il trattamento dei dati
- per quanto tempo saranno conservati i dati
- chi altro potrebbe riceverli
- se i loro dati personali saranno trasferiti a un destinatario al di fuori dell’UE
- che hanno diritto a una copia dei dati (diritto di accesso ai dati personali) e altri diritti fondamentali nel campo della protezione dei dati (cfr. elenco completo dei diritti)
- il loro diritto di presentare un reclamo presso le autorità competenti per la protezione dei dati personali
- il loro diritto di revocare il consenso in qualsiasi momento
- se applicabile, l’esistenza di un processo decisionale automatizzato e la logica implicita, comprese le relative conseguenze
Tali informazioni possono essere fornite per iscritto, oralmente su richiesta della persona quando la sua identità è dimostrata con altri mezzi o, se del caso, per via elettronica. L’azienda/organizzazione deve farlo in modo conciso, trasparente, comprensibile e facilmente accessibile, in un linguaggio chiaro e semplice e gratuitamente. Quando i dati sono ottenuti da un’altra azienda/organizzazione, l’azienda/organizzazione deve fornire le informazioni elencate qui sopra alla persona interessata al più tardi entro un mese dal momento in cui l’azienda ha ottenuto i dati personali; oppure, nel caso in cui l’azienda/organizzazione comunichi con la persona, quando i dati vengono utilizzati per comunicare con lei; oppure, se è prevista la divulgazione a un’altra società, quando i dati personali vengono divulgati per la prima volta. L’azienda/organizzazione è inoltre tenuta a comunicare alla persona le categorie di dati e la fonte da cui sono stati ottenuti, incluso se sono stati ottenuti da fonti accessibili al pubblico. In circostanze specifiche elencate all’articolo 13, paragrafo 4, e all’articolo 14, paragrafo 5, del regolamento, l’azienda/organizzazione può essere esonerata dall’obbligo di informare la persona.
I nostri servizi
In Italsoluzioni ci occupiamo di tutti gli aspetti informatici così come avevamo fatto nel 2004 in occasione dell’entrata in vigore della prima legge sulla privacy. Il nostro intervento prevede una fase iniziale di definizione delle politiche aziendali, di aggiornamento del software e relativo adeguamento dell’hardware presente in azienda ed una fase di mantenimento della documentazione nel caso dovessero subentrare modifiche alla normativa o alla situazione aziendale.
Maggiori informazioni
Compilando questo modulo potrete ricevere tutte le informazioni che vi necessitano ed adeguare la vostra realtà aziendale alle nuove normative.