La Protezione dei dati

La tutela della riservatezza viene introdotta in Europa con la direttiva 95/46/CE e successivamente in Italia con la Legge n. 675/96. L’obiettivo è di fatto la protezione dell’identità e della dignità della persona quali diritti inviolabili e a questo scopo viene istituita la figura del Garante quale autorità amministrativa indipendente.

Per dare successivamente un maggiore impulso a questi principi, il 30 giugno 2003 viene emanato il primo Testo Unico sulla Privacy, il D.L.vo 196/03, che sostituisce la normativa precedente e sottolinea come la protezione dei dati sia un diritto fondamentale della persona, sia fisica che giuridica.

Per saperne di più:

Scarica la scheda

Il GDPR 679/2016 – Il Pacchetto Protezione Dati

Lo sviluppo intenso delle nuove tecnologie ha imposto in questi anni una seria riflessione e reso necessario realizzare un sistema diverso, che potesse assicurare la libera circolazione dei dati personali all’interno dell’Unione Europea e contemporaneamente la massima protezione delle persone.

Inoltre il recepimento a livello nazionale della direttiva 95/46/CE ha creato 28 diversi provvedimenti legislativi nazionali e reso difficile per molte aziende l’accesso a nuovi mercati.

Il Regolamento 679/2016, denominato GDPR ovvero General Data Protection Regulation, nasce per superare questi due aspetti e per garantire maggiori opportunità e tutele a cittadini e imprese.

Il nuovo “pacchetto protezione dati” entra in vigore il 25 maggio 2018.

A chi è rivolto?

Il GDPR 679/2016 viene applicato in ogni impresa privata, di qualsiasi forma e dimensione, e in ogni Ente Pubblico, purché si gestiscano dati personali riferibili a dipendenti, clienti, fornitori e utenti esterni.

In qualsiasi attività, di natura economica oppure non a scopo di lucro, in cui si raccolgono e trattano dati personali si individuano i seguenti soggetti:

  • Interessato: persona fisica a cui si riferiscono i dati che vengono registrati;
  • Titolare del trattamento: persona giuridica o fisica (ditta individuale, impresa, ente, associazione ecc.) che desidera acquisire i dati personali di un interessato e che determina le finalità e i mezzi del trattamento.
  • Responsabile del trattamento: persona giuridica o fisica obbligatoriamente designata che gestisce i dati personali per conto del titolare del trattamento e secondo le direttive fornite da quest’ultimo.
  • Incaricato del trattamento: la persona fisica che alle dirette dipendenze del titolare o del responsabile del trattamento, si occupa dell’operatività ovvero esegue il trattamento secondo precise istruzioni.

Aspetti principali

  • I dati genetici, relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;
  • I dati biometrici, ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;
  • I dati relativi alla salute, attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.
  • Principio di responsabilizzazione (accountability) : è il concetto fondamentale dell’intero quadro normativo in quanto il tutto si incentra sui doveri del titolare del trattamento. In qualsiasi momento egli deve essere in grado di mettere in atto e dimostrare quali misure tecniche e organizzative ha scelto per proteggere i dati degli interessati
  • I dati genetici, relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;
  • I dati biometrici, ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;
  • I dati relativi alla salute, attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.
  • Principio di responsabilizzazione (accountability) : è il concetto fondamentale dell’intero quadro normativo in quanto il tutto si incentra sui doveri del titolare del trattamento. In qualsiasi momento egli deve essere in grado di mettere in atto e dimostrare quali misure tecniche e organizzative ha scelto per proteggere i dati degli interessati

Il GDPR 679/2016, che per semplicità chiameremo Regolamento Privacy, definisce il dato personale una qualsiasi informazione che identifica o rende identificabile una persona, oppure che fornisce informazioni precise su alcune caratteristiche ( dati anagrafici, foto, filmati, indirizzo, abitudini, relazioni, stato di salute, situazione economica, religione, dati giudiziari, etc.).

Con il Pacchetto Protezione Dati Gamma Consulting si rivolge a tutto il sistema produttivo ma in particolare alle piccole e medie imprese – PMI – che hanno necessità di rendere più sicuri i propri mezzi di comunicazione, la propria rete digitale e sostenere la trasformazione per un accesso produttivo ai mercati on-line.

La consulenza si fonda sui seguenti aspetti:

1. Analisi conformità Privacy

2. Valutazione del rischio trattamento dati

3. Attuazione misure organizzative e tecniche

4. Formazione Incaricati del trattamento

L’obiettivo è la definizione di un sistema che individui tutti i rischi e che consenta l’attuazione delle misure corrette a tutela del Titolare del Trattamento.

ANALISI CONFORMITA’ PRIVACY
Analisi delle misure già intraprese

Le aziende sono tenute ad applicare sino al 25/05/2018 il D.L.vo 196/2003. L’analisi iniziale prende in considerazione l’attuale sistema per la protezione dei dati, soffermandosi in particolare su:

  • Natura del dato
  • Informativa
  • Consenso
  • Trattamenti con/senza strumenti elettronici
  • Misure di sicurezza

VALUTAZIONE DEL RISCHIO TRATTAMENTO DATI
Valutazione oggettiva riguardo natura, ambito di applicazione, contesto e finalità del trattamento, ai sensi del GDPR 679/2016.

L’analisi della probabilità e della gravità del rischio prende in esame:

  • Responsabilità soggetti
  • Finalità trattamento
  • Offerta dell’informativa
  • Raccolta del Consenso
  • Principi d’impostazione e limitazione del trattamento
  • Accuratezza dati raccolti
  • Tecnologie di security
  • Trasparenza
  • Trasferimento dati all’estero
  • Accesso dell’interessato

ATTUAZIONE MISURE ORGANIZZATIVE E TECNICHE
Definizione delle politiche di sicurezza

Definizione delle procedure necessarie a garantire la sicurezza dei dati oggetto del trattamento, in relazione al tipo di rischio individuato (basso, medio, alto)

  • Gestione della sicurezza
  • Risposta ad incidenti e continuità operativa
  • Gestione delle risorse umane
  • Controllo accessi, registrazione, monitoraggio
  • Sicurezza dati archiviati
  • Backup
  • Dispositivi mobili e portatili
  • Sicurezze applicazioni
  • Cancellazione dati
  • Sicurezza fisica

FORMAZIONE INCARICATI DEL TRATTAMENTO
L’incaricato è la persona fisica autorizzata a trattare i dati personali sotto l’autorità diretta del titolare o del responsabile del trattamento.

Il GDPR 679/2016 prevede l’obbligo di formazione per tutte le figure presenti nell’organizzazione e coinvolte nel trattamento dati. Introduce in questo modo una novità importante in quanto questa disciplina, inizialmente prevista dal D.L.vo 196/2003, venne successivamente abrogata.

  • Formazione Incaricato GDPR 679/2016 – 4 ore
  • Formazione Coordinatore Incaricati GDPR 679/2016 – 8 ore