Cos’è il G.D.P.R.

Il GDPR è un regolamento dell’Unione Europea in tema di protezione delle persone fisiche con particolare riferimento al trattamento dei dati personali, soprattutto per quanto concerne la condivisione degli stessi.

In vigore dal 24 maggio 2016, il GDPR avrà però piena applicazione solo a partire dal 25 maggio 2018.

L’obiettivo? Garantire un’adeguata sicurezza dei dati personali nel momento in cui essi vengono trattati, onde evitare situazioni che possano compromettere la privacy. Si pensi a trattamenti non autorizzati o illeciti, perdita, distruzione o danno accidentale.

In caso di data breach (ovvero di un incidente che abbia esposto informazioni personali/confidenziali) il titolare del trattamento dei dati personali deve poter dimostrare al giudice di aver preventivamente assunto tutte le precauzioni del caso.

Le misure tecniche e organizzative adeguate al possibile rischio sono diverse. Consideriamo le principali:

– Essere in grado di dimostrare che i dati vengono utilizzati solo per scopi precisi. I dati, inoltre, devono essere costantemente aggiornati e, dietro specifica richiesta, cancellati.

– Effettuare periodicamente un’analisi interna dell’infrastruttura, ad esempio attraverso prove di intrusione e QSA (acquisizione di certificazioni).

– Investire sulla formazione del personale, in modo che ogni dipendente sappia garantire la sicurezza dei dati personali.

– Eseguire la crittografia dei dati, anche all’interno dei notebook aziendali, in modo che rimangano al sicuro anche in caso di furto o smarrimento del computer portatile. La cifratura dei dati è essenziale anche nel momento in cui si salvano nelle piattaforme cloud, perché altrimenti anche in questo caso potrebbero verificarsi delle violazioni.

– Crittografare le email che contengono informazioni confidenziali.

– Crittografare i dati contenuti nei diversi supporti di memorizzazione, come ad esempio chiavette USB, CD, DVD,…

 – Fare un backup  dei dati e controllarne l’esito, consigliato il backup in cloud .   Perché proprio in cloud? Il motivo è semplice: altri sistemi di backup non sarebbero sicuri al 100%. Ad esempio, se si salvassero i dati su un hard disk esterno, bisognerebbe chiuderlo in una cassaforte sorvegliata 24 ore 24, il che non è obiettivamente fattibile.
Nel caso in cui i dati aziendali vengano immessi sul cloud , è indispensabile verificare che le stesse informazioni vengano adeguatamente cifrate dal provider. Le soluzioni di backup in cloud adottate dalla Sigma Informatica prevedono che i dati vengono crittografati tramite algoritmo AES 256, lo stesso che le banche utilizzano per proteggere le transazioni finanziarie.Il trasferimento di dati personali dai Paesi dell’Unione, Italia compresa, verso altre nazioni è vietata già oggi (a meno che il Paese in questione garantisca un livello di protezione “adeguato”). Gli Stati Uniti sono stati ad esempio ritenuti “adeguati” sulla base di alcune risoluzioni (la più famosa è l’US-EU Safe Harbor).

 Violazione dei dati personali: come può accadere?

La violazione della sicurezza dei dati o data breach può significare tante cose: perdita, modifica, distruzione o accesso e divulgazione non autorizzata. Sono state quindi classificate tre tipologie di data breach:

1) Confidentiality breach (accesso e divulgazione)
2) Integrity breach (alterazione)
3) Availability breach (perdita o distruzione)

In caso di data breach, qualsiasi sia la categoria alla quale può essere ricondotto l’incidente occorso, in base all’articolo 33 del GDPR, il titolare del trattamento è tenuto ad informare della violazione l’autorità di controllo entro 72 ore dal momento in cui ne è venuto a conoscenza, salvo i casi in cui vi sia una scarsa probabilità che la violazione diventi un rischio per i diritti e le libertà delle persone fisiche interessate. Qualora vi fosse un ritardo nella comunicazione, il titolare è tenuto a giustificarlo.

E se invece il rischio c’è? In questo caso è necessario che il titolare comunichi la violazione agli interessati senza alcun ritardo. L’argomento è trattato nell’articolo 34 del GDPR che è chiarissimo su questo aspetto: una mancata comunicazione del data breach è giustificata solo nei casi in cui il titolare del trattamento abbia messo in atto le adeguate misure tecniche e organizzative per proteggere i dati (come ad esempio la cifratura, che li rende illeggibili e inutilizzabili a chi non è autorizzato ad accedervi) oppure ha adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per la sicurezza dei dati.

 

Risorse:

 

 

 Informazione tematiche:

 

GDPR, gli indirizzi email sono considerati “dati personali”?

Secondo la Commissione Europea, dipende dal tipo di indirizzo e dalle informazioni che può contenere. Ecco perché:

Sono ancora tanti i dubbi delle aziende che si stanno preparando alla definitiva entrata in vigore della GDPR, il prossimo 25 maggio. E tante le domande.Una di queste è se gli indirizzi email possono essere considerati “dati personali”e dunque soggetti alle restrizioni e alla richiesta di consenso imposte dal nuovo regolamento europeo. A rispondere è la stessa Commissione Europea, che sul proprio sito chiarifica alcuni nodi fondamentali della GDPR. Gli indirizzi email sono generalmente classificati come dati non personali, ma qualora contengano il nome di una persona il loro status cambia, in quanto il dato è riconducibile a una persona determinata, e dunque non è considerato più anonimo. Quindi, se l’indirizzo email è, ad esempio, info@azienda.com è da considerarsi “dato non personale”, se invece è nome.cognome@azienda.com diventa “dato personale”.

 

GDPR: cosa cambia per gli uffici HR e i dipendenti

Il GDPR richiede alle organizzazioni di dettagliare quali sono le informazioni sui dipendenti, chi ha accesso alle informazioni e dove risiede l’informazione. La mancata conformità può essere costosa, le multe potrebbero essere molto ingenti.

Per prima cosa l’ufficio HR deve analizzare e studiare i nuovi requisiti richiesti dal GDPR e determinare in che modo applicarli nell’azienda. Occorre poi rivedere i processi esistenti e mappare il flusso dei dati che sono già in gestione; questo procedimento consente l’individuazione delle lacune che si andranno progressivamente a colmare. A questo punto è fondamentale redigere un preciso piano di azione, coinvolgendo tutte le parti interessate, il che significa probabilmente chiamare in causa chi nell’azienda si occupa di privacy, legale, HR, IT, Vendite e Marketing,…Una parte fondamentale di questo piano sarà quella di documentare e confermare il completamento delle azioni stabilite, per poi passare alla fase successiva. Dopodiché occorrerà progettare un buon programma di governance, in quanto il GDPR è incentrato sulla responsabilità e sulla capacità di dimostrare la conformità su base continuativa. In qualsiasi momento, la capacità di ciascuna società di dimostrare la conformità con il GDPR sarà fondamentale, in quanto la legge concede molto potere alle autorità di regolamentazione di ciascuno Stato membro per controllare, indagare e potenzialmente applicare sanzioni severe”.

 

COSA DEVE SAPERE IL DIPENDENTE?

Aumentano i diritti dei dipendenti. Innanzitutto, potranno accedere a dettagliate informazioni sul flusso dei loro dati, perché e come vengono trattati, pretendendo trasparenza e sicurezza. In secondo luogo, possono chiedere la rettifica o la cancellazione di dati non più necessari, applicando il cosiddetto diritto all’oblio. Si pensi soprattutto alla conclusione di un rapporto di lavoro e alla dismissione di tutti gli account e strumenti contenenti i dati dell’ex-dipendente.

Al di là di ciò che è ovvio – nome, indirizzo, data di nascita, stato civile, fascia di reddito ecc. – il dipendente ha presso la propria azienda informazioni quali la storia salariale, le esigenze dietetiche, lo stato del visto, la patente e molto di più.

Il dipendente potrà quindi richiedere in ogni momento, ed esercitare il proprio diritto all’oblio, in merito a tutti i dati che riguardano:

  • Recruitment: CV, moduli di candidatura, invii personali.
  • Payroll: tutti i dati personali presenti suo libro paga
  • Spese, viaggi, visite mediche: dichiarazioni di spesa, documenti di viaggio, informazioni mediche e dentistiche.