Il GDPR spinge a focalizzare l’attenzione non solo al dato, ma anche al particolare trattamento effettuato. Quando un dato viene raccolto, archiviato, modificato o, addirittura, cancellato si sta effettuando un trattamento ed è necessario descrivere la tipologia di dati, se sono presenti dati di natura particolare, chi sono le categorie interessate, le motivazioni (le basi giuridiche) perché si sta trattando quel dato al fine di avere una fotografia completa di come i dati vengono gestiti nel proprio flusso di lavoro.
Non più la singola informativa sul sito web, ma informative diverse per ogni categoria di interessati in base ai diversi trattamenti. Le aziende (o i professionisti) trattano dati personali quando hanno dipendenti, quando hanno clienti (o potenziali clienti), quando fanno colloqui di lavoro, quando acquistano merci o servizi. Nessuno può dire di non trattare dati personali ed è bene imparare anche a pretendere l’informativa sull’uso dei nostri dati, quando non rappresentiamo l’azienda in cui lavoriamo, ma siamo a nostra volta i soggetti interessati in qualità di clienti o consumatori (cioè la maggior parte delle volte).
Ma le informative non sono tutto, occorre poi riepilogare l’uso che se ne fa, gli archivi coinvolti, le misure di sicurezza adottate. Inoltre tante realtà aziendali trattano dati non solo per se stessi, ma anche conto terzi, ed ecco la necessità di avere anche il registro trattamenti conto terzi. I due registri sono la prima cosa che chiede l’autorità in caso di controllo. E per essere soggetti all’obbligo di tenuta del registro, basta avere anche un solo dipendente, quindi un’organizzazione aziendale estremamente semplice. Capito perché non basta copiare l’informativa sul sito web del sito del concorrente?
E cosa succede se i dati li perdiamo o ci vengono sottratti? Di quei dati abbiamo la totale responsabilità e in caso di eventi piò o meno criminali che mettono a rischio la sicurezza delle persone fisiche che ci hanno affidati i loro dati, siamo obbligati a comunicare nelle maniere previste tali eventi. Con un notevole danno di reputazione, che potrebbe anche precludere la prosecuzione dell’attività. Un motivo in più per dotarsi di strumenti efficaci che possano metterci al riparo da tali eventi.
All’entrata della sede aziendale sono state installate delle videocamere di sicurezza? Ormai lo diamo per scontato, ma ogni sistema di videosorveglianza deve avere la propria informativa e devono essere ben descritte le modalità di conservazione, accesso ed utilizzo dei dati.
Ogni azienda tratta i dati (anche di natura particolare) dei propri dipendenti
Smartphone e Tablet, sia di proprietà del dipendente che forniti dall’azienda, possono contenere dati personali e sono utilizzati in mobilità. Vanno gestiti nella maniera corretta.
Ancora la “carta” fa parte di tante procedure di lavoro aziendali. Occorre essere sicuri di gestirla nella maniera corretta.
Salviamo dati personali nei posti più impensabili e non facciamo attenzione a cosa accade quando ce ne liberiamo. Anche la distruzione è un trattamento e va gestita nella maniera corretta.
Iniziamo esaminando la realtà aziendale del cliente e cercando di definire con chiarezza i tempi e i costi per ottenere il risultato finale. Anche se operiamo a distanza, cerchiamo sempre di parlare con i nostri clienti, trasmettere il giusto messaggio (non ci interessa “spaventare” con le multe previste per chi non è in regola), comunicare che l’adeguamento alla normativa è un’occasione importante per la crescita aziendale.
Analizziamo in dettagli i processi lavorativi e definiamo tutte i trattamenti esistenti nell’azienda. Per ottenere un risultato preciso e conforme alla realtà abbiamo bisogno di interagire con personale interno che abbia visibilità e conoscenza su tutte le procedure di lavoro aziendali. Usiamo la nostra esperienza per evidenziare trattamenti che probabilmente sono in uso, ma che inizialmente non sono stati elencati, perché di raro utilizzo o poco comuni.
Punto importante dell’attività consiste nello stilare l’elenco completo di tutte le persone coinvolte, siano essi dipendenti, collaboratori o società esterne a cui vengono affidati i dati. E poi le sedi e gli archivi (cartacei o digitali) dove vengono effettuati i trattamenti. Questa visione di insieme, che entra nel dettaglio fino al singolo operatore o al singolo strumento utilizzato, consente di coprire la totalità dei dati trattati, senza lasciare nulla al caso.
Il GDPR pone molta attenzione su quelle che dovono essere le misure di sicurezza per garantire il corretto trattamento dei dati personali. Anche quando vengono richiesti dei docuemnti specifici, come la Valutazione di Impatto (DPIA) o le procedure necessarie a gestire i Data Breach, questi devono essere degli strumenti proattivi, che consentano di analizzare e dimostrare l’effettiva correttezza delle procedure adottate. Con la nostra profonda esperienza nella sicurezza informatica, possiamo analizzare in dettaglio la situazione attuale e proporre gli eventuali miglioramenti necessari.
Finito tutto il lavoro, sarebbe tutto inutile se non ci si preoccupasse di formare adeguatamente tutte le persone coinvolte. Organizziamo corsi specifici per figure centrali come il DPO o il Referente Privacy, come anche corsi più pratici e operativi per tutti gli incericati. Il Titolare del Trattamento, oltre tutti gli altri adempimenti, deve dimostrare di aver adeguatamente formato tutte le figure che dipendono dalle sue decisioni. Senza dimenticare tutti i Responsabili Esterni, che devono ricevere le corrette istruzioni per i trattamenti. E la formazione non va fatta solo una volta, ma deve essere continua nel tempo, per consentire l’aggiormanento in una disciplina, come la protezione dei dati personali, che assume sempre maggiore importanza e si evolve costantemente.
Cookie | Durata | Descrizione |
---|---|---|
__stripe_mid | 1 year | Cookie tecnico impostato dal gateway di pagamento Stripe. Viene utilizzato per consentire il pagamento, senza memorizzare alcuna informazione sui dati pagamento sul server del sito galeola.it |
__stripe_sid | 30 minutes | Cookie tecnico impostato dal gateway di pagamento Stripe. Viene utilizzato per consentire il pagamento, senza memorizzare alcuna informazione sui dati pagamento sul server del sito galeola.it |
cookielawinfo-checkbox-advertisement | 1 year | Cookie tecnico impostato dal sito galeola.it, è utilizzato per registrare il consenso dell'utente per i cookie nella categoria "Advertisement". |
cookielawinfo-checkbox-analytics | 1 year | Cookie tecnico impostato dal sito galeola.it, è utilizzato per registrare il consenso dell'utente per i cookie nella categoria "Analytics". |
cookielawinfo-checkbox-necessary | 1 year | Cookie tecnico impostato dal sito galeola.it, è utilizzato per registrare il consenso dell'utente per i cookie nella categoria "Necessary". |
viewed_cookie_policy | 1 year | Cookie tecnico impostato dal sito galeola.it, è utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale. |
wp_woocommerce_session | 2 days | Cookie di sessione necessario per il funzionamento della sezione shop del sito galeola.it |
Cookie | Durata | Descrizione |
---|---|---|
_ga | 2 years | Questo cookie è installato da Google Analytics 4. Il cookie viene utilizzato per calcolare i dati dei visitatori, delle sessioni, di eventuali campagne e tenere traccia dell'utilizzo del sito per produrre report di analisi dell'utilizzo del sito. Il cookie memorizza le informazioni in modo anonimo, generando un codice id casuale che viene assegnato ad ogni visitatore unico. |
_ga_BKXJPDKN4Z | 2 years | Questo cookie è installato da Google Analytics 4. |
CONSENT | 1 year | Questi cookie vengono impostati tramite video embedded di YouTube incorporati. Registrano dati statistici anonimi, ad esempio quante volte viene visualizzato il video e quali impostazioni vengono utilizzate per la riproduzione. Nessun dato sensibile viene raccolto a meno che l'utente non acceda al tuo account google, in quel caso le sue scelte vengono registrate nel suo account. |
Cookie | Durata | Descrizione |
---|---|---|
_fbp | 3 months | Questo cookie viene impostato da Facebook per visualizzare annunci pubblicitari su Facebook o su una piattaforma digitale alimentata dalla pubblicità di Facebook, dopo aver visitato il sito web. |
fr | 3 months | Facebook imposta questo cookie per mostrare annunci pubblicitari pertinenti agli utenti monitorando il comportamento degli utenti sul Web, su siti che dispongono di pixel di Facebook o plug-in social di Facebook. |
NID | 6 months | Questo cookie viene utilizzato per un creare un profilo basato sugli interessi dell'utente e per visualizzare annunci personalizzati. |