Guida

GDPR: Cosa fare. Come fare. Gli scenari.

Il 25 maggio 2018 è diventato definitivamente applicabile in tutti gli stati membri dell’Unione Europea il Regolamento UE 2016/679 (GDPR) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. ZeroUno e gli esperti di P4I ti accompagnano in questo percorso di approfondimento su tutto ciò che si deve sapere (e fare) per assolvere alla normativa.

Pubblicato il 27 Nov 2019

GDPR

Cos’è il GDPR? Qual è il significato di questo acronimo e quale cambiamento determina nel panorama legislativo relativo alla protezione della privacy? Cosa devono fare le aziende per mettersi in regola?

Cos’è il GDPR in sintesi? Guida a tutti gli aggiornamenti sulle principali tematiche da considerare

ZeroUno e gli esperti legali di Partners4Innovation stanno accompagnando le aziende pubbliche e private, con una serie di articoli su questo tema. Una prima parte di approfondimenti è stata pubblicata fino al 25 maggio 2018 (data in cui è diventato definitivamente applicabile in tutti gli stati membri dell’Unione Europea, il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati) ma il progetto prosegue, perché, come si vedrà, il vero significato del testo del GDPR sta nel rappresentare una opportunità imperdibile per fare innovazione in modo sicuro, un processo, dunque, in continua evoluzione. Nei prossimi mesi spazio quindi ad approfondimenti su come le aziende stanno affrontando questo percorso.

In sintesi, il Regolamento Generale sulla Protezione dei Dati ha introdotto norme più chiare relative a informativa e consenso e ha definito i limiti al trattamento dei dati; si è occupato inoltre di stabilire i criteri per il trasferimento dei dati al di fuori dell’Unione europea. Ha fissato inoltre rigorose norme da seguire in caso di violazione dei dati (data breach).

Tra le novità, l’obbligo di nominare il responsabile della protezione dei dati personali denominato Data Protection Officer (DPO).

Tutto quel che c’è da sapere sul GDPR: gli argomenti trattati e i link agli articoli pubblicati

Il vero significato del GDPR: la stretta relazione con l’innovazione digitale

L’obiettivo del legislatore scrivendo il testo del Regolamento UE 2016/679, noto come GDPR (il significato dell’acronimo è General Data Protection Regulation), era quello di proteggere le persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. La normativa interviene quindi nel rapporto fra innovazione digitale, da un lato, e diritti e libertà delle persone, dall’altro, responsabilizzando il Titolare del trattamento dei dati, definendo nuovi diritti per le persone, nuove figure di garanzia e nuovi obblighi per le aziende. Tra questi ultimi quelli che vanno sotto il nome di “Data Protection by design” e di “Data protection impact assessment” (ossia veri e propri filtri attraverso cui l’innovazione deve passare) di cui si occupa questo articolo.

(Clicca qui per leggere l’articolo completo)

Il testo del GDPR: ecco un percorso strutturato e sostenibile in 7 step per essere compliant

GDPR Cosa fare per essere conformi al Regolamento europeo sulla Data privacy? Quali azioni compiere per mettersi in regola?

La Normativa promuove un cambio di filosofia attraverso il superamento di un approccio marcatamente formalistico, basato su regole e adempimenti analiticamente definiti (per esempio un elenco delle misure minime di sicurezza da adottare) e definisce un sistema articolato di governance dei dati personali. Il “nuovo” sistema si basa su un’alta responsabilizzazione sostanziale (accountability) del Data Controller (Titolare del Trattamento), che deve garantire ed essere in grado di dimostrare la compliance al GDPR dei trattamenti di dati personali effettuati, e richiede la definizione di un vero e proprio modello di funzionamento della Data Protection.

In questo articolo sono illustrati i 7 principali passi da compiere per adeguarsi.
(Clicca qui per leggere l’articolo completo)

Registro dei Trattamenti GDPR: quale modello per un’opportunità da cogliere

Tra le novità di maggior rilievo introdotte dalla normativa vi è sicuramente l’obbligo della tenuta del Registro dei Trattamenti. La sua predisposizione non deve essere considerata alla stregua di un nuovo adempimento burocratico, ma come strumento che consente una gestione più efficace della data protection all’interno dell’organizzazione, oltre a rappresentare un elemento imprescindibile per l’individuazione e la realizzazione di un numero significativo di azioni inserite nell’Action Plan per l’adeguamento al GDPR. Difatti, come si vedrà, tale nuovo adempimento consente alle singole organizzazioni di rispondere a una pluralità di finalità.

Ma chi è obbligato a tenere il Registro dei trattamenti? E come si costruisce questo Registro? Tutte le risposte nell’articolo.
(Clicca qui per leggere l’articolo completo)

Analisi del rischio privacy, l’importanza del documento di valutazione

Nel testo del GDPR l’analisi del rischio privacy ha un ruolo fondamentale: diventa lo strumento atto a dimostrare l’adeguatezza delle misure implementate a tutela dei dati trattati. Soprattutto per le aziende italiane questa è una grande novità in termini di approccio: abituati alle leggi basate su diritto latino, siamo assuefatti da anni a prescrizioni puntuali, alle checklist, per esempio, della cosiddetta “Legge Privacy” italiana, il D.lgs. 196/2003. Il GDPR, invece, non indica puntualmente le linee guida per proteggere le informazioni, ma chiede di essere in grado di dimostrare di averle protette in modo adeguato.

In questo articolo viene suggerito un percorso logico per definire come compiere la valutazione che dimostri come si sono protette le informazioni gestite e quali rischi corrono gli interessati che autorizzano a trattare i loro dati.
(Clicca qui per leggere l’articolo completo)

Il Data Protection Officer nel GDPR: quando è obbligatorio

La normativa europea introduce una nuova figura, finora sconosciuta nel nostro ordinamento giuridico, il Data protection officer (DPO) o, all’italiana, il Responsabile della protezione dei dati (RPD). Ma quando è obbligatorio nominare un Data Protection Officer? Che qualità ed esperienze deve possedere? Deve essere un dipendente o può essere nominato anche un soggetto esterno? Quali sono le conseguenze se non è nominato?

Queste sono solo alcune delle tante domande che si stanno ponendo aziende ed enti pubblici a cui si darà risposta in maniera approfondita, in questo articolo, anche tramite esemplificazioni pratiche.
(Clicca qui per leggere l’articolo completo)

In pratica,questa figura professionale deve vantare competenze legali, tecnologiche e organizzative (se la nomina non è idonea rispetto a queste competenze si può andare incontro a sanzioni che possono arrivare fino a 10 milioni di euro o al 2% del fatturato globale).

Brevemente, i compiti del DPO sono quelli di: fornire consulenza al titolare e al responsabile del trattamento; vigilare sull’applicazione del Regolamento; offrire pareri sulla valutazione d’impatto e cooperare con il Garante in casi di violazione dei dati personali.

Compiti, esperienze, collocazione, responsabilità del DPO delineati nel GDPR

Il Responsabile della protezione dei dati (DPO) è un soggetto che, come abbiamo suddetto, deve svolgere diversi compiti, con un ruolo misto di consulenza e controllo: deve verificare l’applicazione del GDPR, facilitarne l’osservanza e minimizzare il rischio di violazioni, informare e consigliare le pubbliche amministrazioni e le imprese, fungere da interfaccia fra i diversi soggetti coinvolti (autorità di controllo, interessati e diverse business unit aziendali). Nell’articolo si leggerà nello specifico qual è la natura di questa figura in azienda e le sue responsabilità.
(Clicca qui per leggere l’articolo completo)

Diritto all’oblio come fare: cosa prevede il GDPR e quali gli avanzamenti della giurisprudenza

Il GDPR prevede espressamente, per la prima volta, nell’ordinamento europeo, il cosiddetto diritto all’oblio. Il testo prevede che l’interessato ha il diritto di ottenere, senza ingiustificato ritardo, la cancellazione dei dati che lo riguardano in 6 casi specificamente individuati che verranno spiegati nell’articolo.

In questo stesso approfondimento viene inoltre illustrato come la giurisprudenza e la prassi applicativa delle Autorità Nazionali per la Protezione dei dati hanno riconosciuto progressivamente l’esigibilità del diritto all’oblio.
(Clicca qui per leggere l’articolo completo)

Informativa e consenso a trattamento dei dati personali nel GDPR cosa fare: i punti da chiarire

Il GDPR interviene sul tema dell’informativa e del consenso al trattamento dei dati. Accanto all’indicazione della procedura corretta da svolgere, vengono però sollevati alcuni dubbi e, in particolare come si vedrà, sono 2 le questioni sulle quali Partners4Innovation ha chiesto chiarimenti al WP29, organo consultivo istituito con la Direttiva 95/46/CE sulla protezione dei dati personali.
(Clicca qui per leggere l’articolo completo)

Sicurezza dei dati e dei trattamenti: analisi dei rischi, misure adeguate e data masking

Tra le misure previste dal GDPR per garantire un livello di sicurezza adeguato al rischio vi è la pseudonimizzazione dei dati, ossia la conservazione di informazioni di profilazione dell’utente in modo tale da impedirne l’identificazione; d’altra parte, con il processo di Data Masking, operato tramite software specifici, è possibile trasformare i dati degli interessati in modo semplice, trasparente e irreversibile, così da garantire il principio di minimizzazione dei dati perché i dati stessi trattati siano limitati rispetto alla finalità.

Protagoniste di questo articolo sono proprio le tecnologie utilizzate per compiere questi processi.
(Clicca qui per leggere l’articolo completo)

Data breach, quale significato e la procedura da compiere: notifica all’Autorità e comunicazione agli interessati

Una strategia di sicurezza deve essere onnicomprensiva; deve riguardare, cioè, la prevenzione, la capacità di rilevare le violazioni ma anche, infine, la reazione di contrasto dell’attacco e di mitigazione degli effetti.

In questo articolo si parlerà proprio della gestione dei Data Breach secondo il GDPR. (Clicca qui per leggere l’articolo completo)

In sostanza, il Titolare del trattamento dei dati compie una valutazione discrezionale per evitare un eccesso di notifica che rischierebbe di vanificare la norma ma, d’altra parte, lo espone, al rischio di non notificare un evento che, contro ogni aspettativa, potrebbe risultare poi un danno per i diritti e le libertà. Fatto questo si deve ridurre al minimo il tempo che passa fra la scoperta della violazione e il momento in cui l’ultimo degli interessati è posto nella condizione di adottare le misure di autotutela a sua disposizione.

Il GDPR e il trasferimento di dati personali extra UE: alcuni spunti di riflessione

Il GDPR prevede che deve essere garantito il medesimo livello di protezione in caso di trasferimento di dati personali in Paesi al di fuori della Unione Europea utilizzando servizi cloud. In linea generale (tralasciando quindi ipotesi più residuali) vi sono diversi casi possibili. Nell’articolo verranno perciò approfondite le varie possibilità e si dice quando, invece, questo non è permesso.
(Clicca qui per leggere l’articolo completo)

GDPR: una chiave strategica per sviluppo del business?

In che modo è possibile trasformare un obbligo in un’opportunità? Quali sono i vantaggi, in particolare, che possono essere generati dall’adeguamento al GDPR? Ecco il parere di importanti vendor (IBM, Micro Focus, Microsoft, Oracle e SAP) intervistati per capire quali sono i benefici che le organizzazioni possono sperimentare avendo una adeguata governance su dati e sicurezza.

(Clicca qui per leggere l’articolo completo).

Quali sanzioni? I consigli per prevenire i rischi

Tutti i suggerimenti degli esperti del Clusit (Associazione italiana per la sicurezza informatica) per evitare di incorrere nelle pesanti sanzioni comminate per inadempienza degli obblighi relativi al GDPR che nel corso del 2019, invece, purtroppo stanno iniziando ad arrivare. Nell’articolo sono indicati in modo pratico gli approcci da adottare per essere compliant con particolare riferimento, anche, alla salvaguardia dei dati nella filiera in cui l’organizzazione opera.

(Clicca qui per leggere l’articolo completo).

Video sul GDPR

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 2