Il trattamento dei dati personali

GDPR

Il Regolamento Generale sulla Protezione dei Dati (GDPR) ha cambiato totalmente il modo in cui va gestito il trattamento dei dati personali per aziende e professionisti. Abituati alla vecchia gestione della “privacy” spesso si pensa che basti aggiornare l’informativa sul sito web rispettare la nuova normativa. In realtà il GDPR ha portato una metodologia di organizzazione del trattamento dei dati personali che può diventare uno strumento di crescita aziendale.

Entrata in vigore
25 maggio 2018
Chi riguarda
Chi tratta dati personali
Tutti?
Sì, Aziende e professionisti
Io non li tratto
Sicuro?
Cosa si rischia
Multe calcolate sul fatturato
Altro?
Sì, il blocco del trattamento

In dettaglio

Quali sono gli aspetti più importanti e come adeguarsi alla nuova normativa

Dai dati ai trattamenti
Il GDPR spinge a focalizzare l’attenzione non solo al dato, ma anche al particolare trattamento effettuato. Quando un dato viene raccolto, archiviato, modificato o, addirittura, cancellato si sta effettuando un trattamento ed è necessario descrivere la tipologia di dati, se sono presenti dati di natura particolare, chi sono le categorie interessate, le motivazioni (le basi giuridiche) perché si sta trattando quel dato al fine di avere una fotografia completa di come i dati vengono gestiti nel proprio flusso di lavoro.
Le informative
Non più la singola informativa sul sito web, ma informative diverse per ogni categoria di interessati in base ai diversi trattamenti. Le aziende (o i professionisti) trattano dati personali quando hanno dipendenti, quando hanno clienti (o potenziali clienti), quando fanno colloqui di lavoro, quando acquistano merci o servizi. Nessuno può dire di non trattare dati personali ed è bene imparare anche a pretendere l’informativa sull’uso dei nostri dati, quando non rappresentiamo l’azienda in cui lavoriamo, ma siamo a nostra volta i soggetti interessati in qualità di clienti o consumatori (cioè la maggior parte delle volte).
Il registro dei trattamenti
Ma le informative non sono tutto, occorre poi riepilogare l’uso che se ne fa, gli archivi coinvolti, le misure di sicurezza adottate. Inoltre tante realtà aziendali trattano dati non solo per se stessi, ma anche conto terzi, ed ecco la necessità di avere anche il registro trattamenti conto terzi. I due registri sono la prima cosa che chiede l’autorità in caso di controllo. E per essere soggetti all’obbligo di tenuta del registro, basta avere anche un solo dipendente, quindi un’organizzazione aziendale estremamente semplice. Capito perché non basta copiare l’informativa sul sito web del sito del concorrente?
Il Data Breach
E cosa succede se i dati li perdiamo o ci vengono sottratti? Di quei dati abbiamo la totale responsabilità e in caso di eventi piò o meno criminali che mettono a rischio la sicurezza delle persone fisiche che ci hanno affidati i loro dati, siamo obbligati a comunicare nelle maniere previste tali eventi. Con un notevole danno di reputazione, che potrebbe anche precludere la prosecuzione dell’attività. Un motivo in più per dotarsi di strumenti efficaci che possano metterci al riparo da tali eventi.

Ma anche io tratto dati personali?

Tutti trattano dati personali, vediamo in dettaglio.

Videocamere

All’entrata della sede aziendale sono state installate delle videocamere di sicurezza? Ormai lo diamo per scontato, ma ogni sistema di videosorveglianza deve avere la propria informativa e devono essere ben descritte le modalità di conservazione, accesso ed utilizzo dei dati.

Dipendenti

Ogni azienda tratta i dati (anche di natura particolare) dei propri dipendenti

Smartphone e Tablet

Smartphone e Tablet, sia di proprietà del dipendente che forniti dall’azienda, possono contenere dati personali e sono utilizzati in mobilità. Vanno gestiti nella maniera corretta.

Archivi cartacei

Ancora la “carta” fa parte di tante procedure di lavoro aziendali. Occorre essere sicuri di gestirla nella maniera corretta.

Cancellazione e distruzione dei dati

Salviamo dati personali nei posti più impensabili e non facciamo attenzione a cosa accade quando ce ne liberiamo. Anche la distruzione è un trattamento e va gestita nella maniera corretta.

Come lavoriamo

Il nostro metodo di consulenza, per mettersi in regola senza errori.

Incontro preliminare
Iniziamo esaminando la realtà aziendale del cliente e cercando di definire con chiarezza i tempi e i costi per ottenere il risultato finale. Anche se operiamo a distanza, cerchiamo sempre di parlare con i nostri clienti, trasmettere il giusto messaggio (non ci interessa “spaventare” con le multe previste per chi non è in regola), comunicare che l’adeguamento alla normativa è un’occasione importante per la crescita aziendale.
Analisi di tutti i trattamenti
Analizziamo in dettagli i processi lavorativi e definiamo tutte i trattamenti esistenti nell’azienda. Per ottenere un risultato preciso e conforme alla realtà abbiamo bisogno di interagire con personale interno che abbia visibilità e conoscenza su tutte le procedure di lavoro aziendali. Usiamo la nostra esperienza per evidenziare trattamenti che probabilmente sono in uso, ma che inizialmente non sono stati elencati, perché di raro utilizzo o poco comuni.
Censimento degli addetti, delle sedi e degli archivi
Punto importante dell’attività consiste nello stilare l’elenco completo di tutte le persone coinvolte, siano essi dipendenti, collaboratori o società esterne a cui vengono affidati i dati. E poi le sedi e gli archivi (cartacei o digitali) dove vengono effettuati i trattamenti. Questa visione di insieme, che entra nel dettaglio fino al singolo operatore o al singolo strumento utilizzato, consente di coprire la totalità dei dati trattati, senza lasciare nulla al caso.
Misure di sicurezza
Il GDPR pone molta attenzione su quelle che dovono essere le misure di sicurezza per garantire il corretto trattamento dei dati personali. Anche quando vengono richiesti dei docuemnti specifici, come la Valutazione di Impatto (DPIA) o le procedure necessarie a gestire i Data Breach, questi devono essere degli strumenti proattivi, che consentano di analizzare e dimostrare l’effettiva correttezza delle procedure adottate. Con la nostra profonda esperienza nella sicurezza informatica, possiamo analizzare in dettaglio la situazione attuale e proporre gli eventuali miglioramenti necessari.
Formazione
Finito tutto il lavoro, sarebbe tutto inutile se non ci si preoccupasse di formare adeguatamente tutte le persone coinvolte. Organizziamo corsi specifici per figure centrali come il DPO o il Referente Privacy, come anche corsi più pratici e operativi per tutti gli incericati. Il Titolare del Trattamento, oltre tutti gli altri adempimenti, deve dimostrare di aver adeguatamente formato tutte le figure che dipendono dalle sue decisioni. Senza dimenticare tutti i Responsabili Esterni, che devono ricevere le corrette istruzioni per i trattamenti. E la formazione non va fatta solo una volta, ma deve essere continua nel tempo, per consentire l’aggiormanento in una disciplina, come la protezione dei dati personali, che assume sempre maggiore importanza e si evolve costantemente.

Cosa possiamo fare per te

Se vuoi saperne di più contattaci e potremo analizzare la tua realtà aziendale

Clicca sul bottone contattaci, compila il form con le informazioni richieste e ti risponderemo quanto prima, per analizzare la tua situazione e trovare la maniera migliore per l’adeguamento alla normativa.

Contattaci

Cookie	Durata	Descrizione
__stripe_mid	1 year	Cookie tecnico impostato dal gateway di pagamento Stripe. Viene utilizzato per consentire il pagamento, senza memorizzare alcuna informazione sui dati pagamento sul server del sito galeola.it
__stripe_sid	30 minutes	Cookie tecnico impostato dal gateway di pagamento Stripe. Viene utilizzato per consentire il pagamento, senza memorizzare alcuna informazione sui dati pagamento sul server del sito galeola.it
_GRECAPTCHA	5 months 27 days	Cookie impostato da Google Recaptcha per identificare bot e ogni altro accesso malevolo per proteggere il sito da ogni attacco spam.
cookielawinfo-checkbox-advertisement	1 year	Cookie tecnico impostato dal sito galeola.it, è utilizzato per registrare il consenso dell'utente per i cookie nella categoria "Advertisement".
cookielawinfo-checkbox-analytics	1 year	Cookie tecnico impostato dal sito galeola.it, è utilizzato per registrare il consenso dell'utente per i cookie nella categoria "Analytics".
cookielawinfo-checkbox-necessary	1 year	Cookie tecnico impostato dal sito galeola.it, è utilizzato per registrare il consenso dell'utente per i cookie nella categoria "Necessary".
CookieLawInfoConsent	1 year	Cookie tecnico impostato dal sito galeola.it, è utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.
viewed_cookie_policy	1 year	Cookie tecnico impostato dal sito galeola.it, è utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.
wp_woocommerce_session	2 days	Cookie di sessione necessario per il funzionamento della sezione shop del sito galeola.it

Cookie	Durata	Descrizione
_ga	2 years	Questo cookie è installato da Google Analytics 4. Il cookie viene utilizzato per calcolare i dati dei visitatori, delle sessioni, di eventuali campagne e tenere traccia dell'utilizzo del sito per produrre report di analisi dell'utilizzo del sito. Il cookie memorizza le informazioni in modo anonimo, generando un codice id casuale che viene assegnato ad ogni visitatore unico.
_ga_*	1 year 1 month 4 days	Questo cookie è installato da Google Analytics 4.
_ga_BKXJPDKN4Z	2 years	Questo cookie è installato da Google Analytics 4.
CONSENT	1 year	Questi cookie vengono impostati tramite video embedded di YouTube incorporati. Registrano dati statistici anonimi, ad esempio quante volte viene visualizzato il video e quali impostazioni vengono utilizzate per la riproduzione. Nessun dato sensibile viene raccolto a meno che l'utente non acceda al tuo account google, in quel caso le sue scelte vengono registrate nel suo account.

Cookie	Durata	Descrizione
_fbp	3 months	Questo cookie viene impostato da Facebook per visualizzare annunci pubblicitari su Facebook o su una piattaforma digitale alimentata dalla pubblicità di Facebook, dopo aver visitato il sito web.
fr	3 months	Facebook imposta questo cookie per mostrare annunci pubblicitari pertinenti agli utenti monitorando il comportamento degli utenti sul Web, su siti che dispongono di pixel di Facebook o plug-in social di Facebook.
m	2 years	No description available.
NID	6 months	Questo cookie viene utilizzato per un creare un profilo basato sugli interessi dell'utente e per visualizzare annunci personalizzati.

GDPR

Quali sono gli aspetti più importanti e come adeguarsi alla nuova normativa

Dai dati ai trattamenti

Le informative

Il registro dei trattamenti

Il Data Breach

Tutti trattano dati personali, vediamo in dettaglio.

Videocamere

Dipendenti

Smartphone e Tablet

Archivi cartacei

Cancellazione e distruzione dei dati

Il nostro metodo di consulenza, per mettersi in regola senza errori.

Incontro preliminare

Analisi di tutti i trattamenti

Censimento degli addetti, delle sedi e degli archivi

Misure di sicurezza

Formazione

Se vuoi saperne di più contattaci e potremo analizzare la tua realtà aziendale