Cos’è il GDPR?

 

Adeguamento al Regolamento UE 2016/679 (General Data Protection Regulation GDPR)

A partire dal 25 maggio 2018, per tutti i soggetti che trattano dati relativi ai cittadini EU diventerà direttamente applicabile il nuovo Regolamento Generale sulla Protezione dei Dati (in inglese “General Data Protection Regulation”, abbreviato in GDPR).

Da sempre, la modalità di gestione, di trattamento e di protezione dei dati personali è stata una importante priorità, e ci siamo preoccupati di gestire i dati esclusivamente mediante strumenti che garantiscano la protezione contro tutti gli usi indesiderati e non pienamente coerenti con le finalità per le quali abbiamo raccolto informazioni personali. Tutelare i dati e le persone cui si riferiscono è nel nostro DNA.

Anche per questo è stato naturale per noi muoverci con largo anticipo per affrontare correttamente i cambiamenti che questa normativa comporta. Dall’inizio della scorsa estate, abbiamo iniziato una completa mappatura dei dati e abbiamo avviato una revisione delle procedure della nostra Azienda con l’obiettivo di arrivare ad essere pienamente allineati al nuovo GDPR entro il 25 maggio 2018.

Per saperne di più sul GDPR 

Il Regolamento Generale sulla Protezione dei Dati (GDPR) è un regolamento introdotto nella UE per rafforzare il controllo dei cittadini sull’uso dei loro dati personali, e renderlo omogeneo in tutti gli stati della UE; dal 25 maggio 2018, la nuova normativa si applicherà in Italia subentrando alle norme del codice per la protezione dei dati personali (d.lgs. n. 196/2003, quella che viene comunemente definita “legge sulla Privacy”).

Le principali novità introdotte dal GDPR sono queste:

  • Responsabilità e ‘Accountability’: le Aziende devono mettere in atto e poter dimostrare processi e soluzioni che garantiscano la piena tutela dei dati personali e sensibili. 
  • Criteri che legittimano i trattamenti: per rendere legittimo il trattamento deve sussistere almeno uno di questi criteri: 1) consenso della persona cui si riferiscono i dati; 2) necessità di dare esecuzione ad un contratto di cui è parte la persona cui si riferiscono i dati, oppure ad un obbligo di legge oppure ad una richiesta dell’interessato; 3) esistenza di un effettivo legittimo interesse a trattare i dati. 
  • Consenso: se l’elemento che legittima il trattamento dei dati è il consenso occorre che sia documentato con certezza il fatto che la persona cui si riferiscono i dati l’abbia fornito in modo consapevole, libero, specifico e sulla base di una idonea informativa. 
  • Informativa: occorre fornire in modo chiaro alla persona cui si riferiscono i dati, notizie chiare sulle finalità di utilizzo dei dati. 
  • Violazione dei dati: le perdite e gli accessi non autorizzati ai dati dovranno essere tempestivamente comunicate al Garante per la protezione dei dati personali e, dove richiesto, ai diretti interessati. 
  • Diritto di informazione: un soggetto i cui dati personali sono trattati potrà sempre richiedere di sapere quali dati effettivamente sono a disposizione di chi li ha raccolti. 
  • Diritto di cancellazione: la persona cui si riferiscono i dati ha sempre il diritto di richiedere la cancellazione di tutti i dati personali che lo riguardano. 
  • Portabilità dei dati: la persona cui si riferiscono i dati ha sempre il diritto di poter richiedere e trasferire i propri dati personali da un sistema informatico ad un altro. 
  • Protezione dei dati mediante progettazione (privacy by design): la normativa richiede che la protezione dei dati personali venga valutata sempre fin dall’inizio nella progettazione di servizi, di sistemi informativi e di processi. 
  • Registro dei trattamenti: devono essere mantenuti dei registri dei trattamenti fatti che analizzino e descrivano le varie tipologie di trattamento e i tipi di dati raccolti. 

Cosa abbiamo fatto per adeguarci alle nuove norme? 

  • Abbiamo effettuato la mappatura dei dati, definito il registro dei trattamenti e condotto l’analisi dei rischi del trattamento dei dati.
  • Tutti i trattamenti di dato personali sono svolti avendo avuto cura di minimizzare il rischio di trattamenti non autorizzati.
  • L’accesso ai dati da parte dei soggetti che abbiamo autorizzato al trattamento è regolato da password, e i diritti di accesso sono strettamente basati sugli specifici incarichi che l’utilizzatore ha avuto. 
  • Tutto il Personale interno e i fornitori sono stati adeguatamente formati per trattare i dati nel rispetto della nuova normativa. 
  • Sono state formalmente comunicate precise normative sulle modalità ammesse per l’utilizzo degli strumenti informatici interni, per prevenire accessi impropri o perdite di dati nei nostri sistemi. 
  • Tutti i contratti con i fornitori esterni sono stati verificati per definire con precisione le istruzioni per il trattamento dei dati richiesti ai fornitori. 
  • Sono state individuate e sono in esecuzione azioni per limitare ulteriormente la possibilità di accesso ai dati personali al di fuori dello specifico momento di esecuzione di un incarico di perizia o di riparazione. 
  • È stata condotta una valutazione per garantire l’adeguatezza delle misure di sicurezza adottate per il trattamento dei dati. 
  • È stato definito un programma di attività finalizzato ad assicurare il costante aggiornamento delle valutazioni di impatto del trattamento dei dati e l’analisi dei rischi.

Questo è il nostro impegno per conseguire un’effettiva e costante protezione dei dati personali che ci sono affidati.