Categoria: privacy

Come adeguarsi al GDPR

Nonostante siano passati anni, da quando il GDPR (General Data Protection Regulation) è diventato legge, c’è ancora una notevole mancanza di comprensione su cosa è necessario per essere conformi. In sostanza, il GDPR controlla l’uso dei dati personali dei residenti in Italia e nella UE, in modo che non vengano utilizzati in modo inappropriato.

Queste misure garantiscono la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi di elaborazione. Vengono riviste e aggiornate se necessario. A causa della mancanza di standard formali, non esiste un approccio unico al GDPR.

Tuttavia, alle organizzazioni viene suggerito che, per raggiungere la conformità, devono seguire alcuni principi di base quando effettuano una revisione della conformità al GDPR. In questo articolo, discuterò di questi principi e di come il loro rispetto possa rafforzare il vostro impegno nei confronti della legislazione GDPR.

Analisi dei dati personali

Quasi tutti i tipi di aziende raccolgono dati personali e li elaborano. I dati personali sono definiti come informazioni che possono identificare una persona, mentre l’elaborazione dei dati calcola le informazioni personali utilizzando software appositamente programmati.

Nell’ambito della verifica della conformità, assicuratevi che il vostro registro delle attività di trattamento sia corretto. Questo include:

Quali tipi di dati personali state raccogliendo?
A chi appartengono?
Dove vengono conservati?
Con chi vengono condivisi?
Perché li avete?
Vi servono ancora?
È tenuto al sicuro e privato?
Chi può accedervi e perché?
Qual è il vostro processo di aggiornamento del Registro delle attività di trattamento?

Diritti degli interessati

Ogni persona che condivide i propri dati personali con la vostra azienda ha il diritto di essere informata sulla loro raccolta e sul loro utilizzo. Si tratta di una trasparenza fondamentale, come stabilito dal GDPR. Dovete verificare che il consenso sia dato liberamente e che sia specifico, informato e non ambiguo.

Tutte le aziende dovranno:

Rivedere il proprio processo di opt-in per il consenso;
Rivedere le modalità di gestione del consenso in corso;
Rivedere il processo di opt-out. Il consenso deve essere facile da revocare;
Rivedere le modalità di registrazione del consenso.
Per ogni persona che instaura un rapporto con la vostra azienda, e in caso di scambio di informazioni personali, dovrete renderla consapevole dello scopo del trattamento dei dati personali. Ad esempio, i dati possono essere acquisiti tramite abbonamento, piano fedeltà o acquisto online.

È inoltre necessario informare i clienti della durata di conservazione dei dati personali e delle persone con cui vengono condivisi. Questo si chiama “informativa sulla privacy”. Una politica sulla privacy GDPR è un documento che spiega gli obblighi e le pratiche di un’organizzazione per soddisfare i requisiti di conformità.

Nell’ambito della revisione, dovete aggiornare le vostre informative sulla privacy quando necessario. Se state assumendo personale, dovrete verificare se avete bisogno di ulteriori informative sulla privacy per coprire i candidati all’assunzione e gli appaltatori.

E quindi la richiesta di accesso ai dati da parte dell’interessato (DSAR), che viene definita come segue: Una persona interessata dovrebbe avere il diritto di accedere ai dati personali raccolti che la riguardano. E poi di esercitare il proprio diritto facilmente e a intervalli ragionevoli, per conoscere e verificare la legittimità del trattamento”.

Se una persona presenta una richiesta di accesso ai dati, la vostra organizzazione deve rispondere con una copia di tutte le informazioni in vostro possesso sull’interessato. Tutte le persone hanno il diritto di chiedere a un’azienda di cancellare i propri dati personali e le aziende devono dare seguito a questa richiesta immediatamente.

Per quanto riguarda la distruzione dei dati, dovrete:

Rivedere e aggiornare regolarmente i piani di conservazione e le politiche di distruzione.
Valutare come smaltire i dispositivi cartacei e hardware contenenti dati personali riservati. Potreste anche considerare se avete bisogno di una politica di triturazione o se potete esternalizzare lo smaltimento sicuro dell’hardware dei computer.

Valutazione del rischio di privacy

Quando i dati vengono elaborati utilizzando nuove tecnologie, le aziende devono tenere conto della natura, dell’ambito e del contesto in cui avviene il trattamento. Questo aspetto è trattato nell’articolo 35 del GDPR.

Prima di iniziare a trattare i dati, il responsabile del trattamento deve valutare l’impatto delle sue operazioni per garantire che non vi siano rischi per i diritti e le libertà delle persone. Per quanto riguarda l’articolo 35, le aziende devono valutare il motivo per cui si affidano ai legittimi interessi come base legittima per il trattamento.

Sicurezza e violazione dei dati

Una violazione dei dati, cioè un furto di dati, è una violazione della sicurezza. Si verifica quando dati sensibili, protetti o riservati vengono copiati, trasmessi, visualizzati, rubati o utilizzati da un soggetto non autorizzato.

Questo può avvenire in seguito ad attacchi da parte di persone che violano i dati per scopi personali o per vandalismo. Si verifica quando i sistemi di sicurezza sono configurati in modo inadeguato o attraverso lo smaltimento incauto di apparecchiature informatiche o supporti di memorizzazione dei dati.

Ad esempio: Quando documenti riservati, come i dati bancari, vengono lasciati sopra la scrivania o la stampante dell’ufficio, si parla di violazione dei dati perché persone non autorizzate possono accedere a queste informazioni.

Dovete disporre di una procedura per gestire le violazioni dei dati. Dovete essere in grado di rilevare quando si verifica una violazione e di indagare e riferire in merito. Dovrete rivedere e aggiornare se le vostre misure tecniche e organizzative sono adeguate al tipo di dati personali che trattate.

Prendete in considerazione la possibilità di ottenere certificazioni e standard e rivedete sempre i vostri processi di sicurezza dopo aver rilevato eventuali violazioni o vulnerabilità. Installate un piano di risposta agli incidenti.

Formazione

Dovete garantire che la formazione sul GDPR e sui dati personali sia aggiornata e impartita regolarmente. La formazione deve essere in linea con il ruolo del dipendente. La formazione pertinente comprende esempi utili che i dipendenti possono incontrare nel loro ruolo quotidiano. L’educazione e la consapevolezza sono un fattore chiave per prevenire i rischi, se fatte correttamente.

Contratti

I contratti sono essenziali per far sì che entrambe le parti comprendano le proprie responsabilità e oneri. Il GDPR spiega cosa deve essere incluso in merito alla conservazione e al trattamento dei dati personali. Rivedete e aggiornate regolarmente il contratto del vostro fornitore. L’articolo 28 della documentazione del GDPR tratta questo aspetto. Rivedete e aggiornate anche la vostra copertura assicurativa/responsabilità.

Trasferimenti internazionali

Se siete il responsabile del trattamento dei dati per la vostra azienda, assicuratevi di aver identificato tutti i trasferimenti transfrontalieri, interni ed esterni. Verificate che il vostro accordo di trasferimento dei dati all’interno del gruppo sia aggiornato. Assicuratevi di aver compreso le leggi sulla protezione dei dati di tutti i Paesi con cui collaborate e avete contatti.

Rivedere e aggiornare, se del caso, i trasferimenti transfrontalieri riguardanti i cittadini italiani. Potrebbe essere necessario stipulare un accordo internazionale di trasferimento dei dati o un addendum internazionale di trasferimento dei dati. Tutto ciò può diventare estremamente complicato.

Governance e responsabilità

La responsabilità è uno dei principi chiave della protezione dei dati. Vi rende responsabili della conformità al GDPR e dovete essere in grado di dimostrare la vostra conformità.

Dovrete mettere in atto misure tecniche e organizzative adeguate che soddisfino i requisiti di responsabilità:

Verificate se il vostro trattamento richiede la nomina di un responsabile della protezione dei dati. In caso contrario, potreste comunque volerne nominare uno;
Disporre di registri che dimostrino la vostra conformità;
Attuare verifiche periodiche del vostro quadro normativo in materia di privacy per garantire una conformità costante.

La sindrome di Tara

Un bel libro per capire la psicologia americana è Privacy di William Faulkner, un pamphlet che difende il diritto, altamente interiorizzato fra gli statunitensi, di poter vivere in uno splendido isolamento, fisicamente palpabile guardando alla tipologia delle loro abitazioni, in gran parte casette di legno unifamiliari, isolate, prive di qualsiasi sistema di difesa passiva contro gli intrusi.

Dormire in una casa nel New Jersey, con le finestre senza imposte e scuri, con la porta che dà sul backyard sempre aperta, è una situazione strana per un europeo, sopratutto se abita da sempre in città dove abbiamo, come minimo, porta blindata, spioncino e spesso anche un portiere cerbero. Misure di sicurezza che sono l’estensione del vivere in grandi agglomerati, che non sono altro che il borgo medievale protetto dalle mura e dalle armi di chi era deputato a portarle.

Diverso è in America dove la difesa della proprietà e della vita (anche con le armi) è un diritto assoluto del cittadino, incorporato nella Costituzione come principio fondamentale.
Quindi, da un punto di vista sistemico, negli USA la difesa contro la delinquenza è basata su milioni di soggetti attivi, perchè armati, e questo permette misure molto lasche o nulle in termini di difesa passiva.

Purtroppo noi europei guardiamo da 80 anni i film americani e pensiamo di imitarli nei comportamenti esteriori, senza però avere delle basi culturali uguali (come la propensione a sparare), per cui certi scimmiottamenti sono a volte idioti e anche pericolosi.

L’idea di tante signore arricchite, supportate da mariti al guinzaglio, di poter mostrare la propria ricchezza con la villa nelle campagne lussureggianti di prati smeraldini o su di un promontorio cullato dallo sciabordio delle onde, si rivela spesso un’idea malsana perchè è ben chiaro alla criminalità predatoria che è facilissimo approfittare della pecora isolata, quella che sta fuori dall’ovile, che sarà pure affollato e puzzolente come sono le nostre città, ma tiene lontani i lupi grazie alle mura e al cane che con un occhio dorme e con uno fa la guardia.

Così, per imitare quella sciagurata di Rossella O’Hara e la sua mania per Tara, il villone in con scalone elicoidale di prammatica, molte sciurette passano dalle mani gentili delle sciampiste a quelle feroci dei rapinatori che sconciano messe in piega e calotte craniche.

Sputtanamento Globale

L’occhiuto Garante della Privacy ha stabilito che si può comunicare lo stato di insolvenza delle imprese, una notizia che offre lo spunto per una riflessione su un arma di distruzione di brand in mano al consumatore, utente, cittadino.
Oggi l’unica cosa che conta in ambito commerciale è il BRAND, cioè il marchio, che assolutamente non può essere sporcato e svalutato da polemiche, lamentele, attacchi e da qualsiasi altra cosa negativa. In un certo senso il BRAND è più importante del prodotto o del servizio. E non sembri strano: avere un ottimo prodotto è il minimo che un’azienda debba avere per competere (perchè se non si ha nemmeno quello è meglio chiudere) e perciò la differenza la fa solo la capacità di mantenere il BRAND nei cuori e nelle teste dei consumatori! E questo si ottiene solo con tanta pubblicità ed un servizio al cliente più che eccellente!
Ogni attacco al BRAND, invece, significa perdita di clienti e fette di mercato. E perciò importante che chiunque riceva un disservizio, un prodotto scadente, o una qualsiasi mancanza di rispetto da parte di un’azienda, l’attacchi pubblicamente sui mezzi di comunicazione.
Se l’azienda ha rispetto per il consumatore, provvederà a chiudere la questione, anche prima di essere attaccata, ma, se non lo fa, allora non è un’azienda che merita i nostri soldi.
Questa strategia rivaluta stampa ed Internet perchè la lettura costringe il lettore alla riflessione, mentre la TV è evanescente: un passaggio in un TG colpisce molti, ma si dimentica subito, mentre un articolo rimane e si può facilmente passare ad altri con un click!

Cari amici avete un’arma galattica in mano: usatela! E’ ora dello sputtanamento globale!