GDPR & sanzioni, come evitare eventuali responsabilità?
GDPR e sanzioni due termini che fanno tremare le imprese dal 25 maggio 2018, data di entrata in vigore del Regolamento generale sulla protezione dei dati.
Si tratta di un quadro europeo di riferimento per la sicurezza dei dati personali di portata, la loro riservatezza e la tracciabilità in un ambiente sempre più digitale.
Le imprese vedono aumentare i loro obblighi, imposti in maniera concreta da una legge. E ovviamente sono sempre più soggetti a sanzioni amministrative e penali. Ma quali sono esattamente questi obblighi? E soprattutto, come si possono evitare le sanzioni? vediamo una guida di sopravvivenza …
Presentazione e inquadramento del GDPR
Prima di parlare di GDPR sentivamo sovente parlare di codice della Privacy o d.l. 196/2003.
Si tratta di una legge italiana che, non solo ha riconosciuto la privacy come diritto fondamentale della persona, ma che assieme alle altre legislazioni nazionali in materia ha tenuto viva una questione quale la riservatezza dei dati.
Il GDPR è in un certo senso un'estensione di questa legge, posta su scala europea:
Ovviamente, essendoci stati 15 anni tra le due normative sono state necessarie delle modifiche sulla legislazione italiana.
Dal 19 settembre, quindi, è in vigore il decreto legislativo 101/2018 in attuazione della normativa europea.
Obiettivi dell'attuazione del regolamento GDPR
- rafforzare i diritti dei consumatori e degli utenti
- responsabilizzare le società e i subappaltatori che trattano i dati personali (file dei potenziali clienti, dipendenti, ecc.)
- armonizzare le normative nazionali in Europa
- consolidare la cooperazione tra le diverse autorità di protezione dei dati
Adeguarsi al regolamento GDPR in 4 passi
La società, in qualità di responsabile del trattamento dei dati, deve essere in grado di fornire tutte le prove del rispetto della protezione dei dati, come il registro di elaborazione, la valutazione d'impatto (in caso di gestione di dati molto sensibili, a volte su richiesta delle autorità di controllo) e la prova del consenso.
©informatore informatico
📑 Il registro delle attività di trattamento dei dati
Previsto dall'articolo 30 GDPR , questo documento di inventario e analisi centralizza l'elaborazione dei dati in diversi reparti: selezione del personale, gestione delle retribuzioni, formazione, gestione dei badge e degli accessi, statistiche di vendita, gestione dei clienti e dei prospect, ecc.
Nel documento si fa riferimento a quanto segue:
- i soggetti coinvolti nel trattamento dei dati (responsabile del trattamento, RPD, se del caso, subappaltatori, cogestori)
- gli strumenti e i servizi informatici che interagiscono in ogni fase dell'elaborazione informatica
- le categorie di dati trattati (età, categorie socio-professionali, e-mail, ecc.)
- i mezzi di raccolta (GPS, cookie, moduli, ecc.)
- lo scopo della raccolta di questi dati (fedeltà, prospezione, ecc.)
- il loro utilizzo, da parte di chi?, la loro comunicazione, a chi? chi altro ha accesso ai dati (hoster, fornitori di servizi intermediari?)
- il periodo di conservazione
- le misure di sicurezza messe in atto per la loro conservazione
☞ La nomina di un responsabile della protezione dei dati (DPO) è obbligatoria per gli enti pubblici e per coloro che elaborano dati, in particolare dati sensibili, che richiedono un monitoraggio regolare su larga scala. Egli supporta l'organizzazione gestendo la governance dei dati personali, che è responsabilità dell'azienda.
Può essere esterno all'azienda (ad esempio un avvocato) o interno (questa missione può essere svolta dal corrispondente per la protezione dei dati già presente, ad esempio).
☞ È necessario il consenso delle persone di cui si raccolgono i dati. Idealmente, si dovrebbe anche tenere un registro dei consensi che documenti le condizioni di raccolta e le prove.
♻️ Ordinamento dei dati
- Eliminate le informazioni inutili dai vostri moduli di raccolta e dalle banche dati;
- Definite regole automatiche per la cancellazione o l'archiviazione dopo un certo periodo di tempo nelle vostre applicazioni e nel vostro software;
- Verificare che i diritti di accesso ai dati siano limitati a determinate persone, indicate nel registro.
Potete aiutare voi stessi rispondendo a queste domande:
- I dati sono necessari per la vostra attività?
- Sono sensibili (origine razziale o etnica, opinioni politiche, credenze religiose, appartenenza a sindacati, dati genetici, biometrici, sanitari, sessuali)?
- La gestione dei diritti di accesso è conforme?
- Avete vecchi dati che non dovrebbero più essere in vostro possesso?
→ Dati personali di persone che sono inattive da 3 anni o più (ex dipendenti, ex clienti),
→ Consenso dei visitatori del vostro sito web per l'elaborazione dei cookie non rinnovato per 13 mesi o più, ecc.
💡 Rispetto dei diritti delle persone
Le persone interessate sono :
- informate in merito a chi raccoglie i propri dati, chi vi ha accesso, a chi vengono comunicati, per quali finalità e per quanto tempo vengono conservati
- libere di opporvisi, facilmente, grazie a termini e condizioni chiaramente indicati (tramite uno spazio personale, via e-mail, ecc.)
- soddisfatte nelle loro richieste di modifica o cancellazione dopo un mese al massimo
🔒 Sicurezza dei dati
L'azienda ha la responsabilità di garantire l'integrità del vostro patrimonio di dati riducendo il rischio di perdita e di hacking. Per fare questo, è necessario :
- assicurare che l'accesso ai dati locali sia sicuro
- garantire che gli account utente esterni e interni siano protetti con sufficiente complessità
- aggiornare il software antivirus
- cambiare spesso le password
- criptare i dati sensibili
- impostare una procedura per il backup e il ripristino dei dati
Sanzioni GDPR
Nell’ordinamento italiano, erano già previste delle sanzioni penali in caso di violazioni legate alla normativa sulla privacy. A queste, poi, si sono integrate le nuove disposizioni contenute dal regolamento UE.
Sanzioni amministrative
All’interno del regolamento europeo GDPR si fa strettamente riferimento a sanzioni amministrative pecuniarie. Vediamole nel dettaglio:
- In caso di: Mancata nomina del DPO, omessa comunicazione di data breach e/o violazioni in merito al trattamento dei dati e consenso dei minori fino a 10 milioni di euro o 2% del fatturato annuo ( su scala mondiale)
- In caso di: Inosservanza di un’imposizione dell’autorità nazionale della privacy e trasferimento illecito di dati a terzi, fino a 20 milioni di euro o il 4% del fatturato annuo (su scala mondiale)
Sanzioni penali
Per quanto riguarda le sanzioni penali, è stata lasciata più libertà ai garanti nazionali nel disciplinarle. Per quanto riguarda l’italia sono previste 5 tipi di violazioni soggette a prosecuzione penale:
- acquisizione fraudolenta di dati personali trattati su larga scala
- mancato rispetto dei provvedimenti del garante
- false dichiarazioni al garante
- trattamento illecito dei dati
- comunicazione e diffusione illecita di dati personali trattati su larga scala
Per quanto riguarda queste violazioni la normativa di riferimento è il codice della privacy 2003 e la pena prevede reclusione fino ad anni 6.
Altre sanzioni possono prevedere un risarcimento danni della parte lesa o l’interdizione dal trattare dati personali fino a quando i requisiti non saranno soddisfatti.
Le sanzioni tra i Big
Ovviamente queste minacce non sono uno scherzo. Infatti, anche grandi compagnie si sono ritrovate nel 2019 a dover pagare delle conseguenze salate per la loro inadempienza:
- Una delle più rilevanti è avvenuta ad opera del garante della privacy francese (CNIL). Oltralpe, infatti, hanno multato per 50 milioni di euro niente di meno che Google in seguito ai reclami dell’associazione austriaca None Of Your Business che opera per la salvaguardia dei diritti del consumatore. Al gigante americano, infatti, viene contestata la poca trasparenza nella trasmissione delle informazioni sul trattamento dati al momento della creazione di un account.
- In Italia, è stata l’associazione Rousseau ad essere sanzionata. Infatti, il garante della privacy ha rilevato la mancanza di adeguate misure di sicurezza per gli iscritti alla piattaforma.
- Unicredit bank, invece è stato sanzionato in Romania per violazione del principio di sicurezza dati.
Quali soluzioni dovrebbero essere adottate per essere a norma di legge?
I vantaggi del software di un software gestione dati GDPR
Un Dipartimento di Sistemi Informativi (ISD) irreprensibile, un DPO, avvocati consulenti, tutti questi soggetti possono rivelarsi essenziali grazie alla loro esperienza in campo legale e informatico.
Ma può non bastare, per garantire la completa conformità, senza commettere errori e al tempo stesso senza perdere troppo tempo, il supporto di una piattaforma software può davvero fare la differenza, e farvi risparmiare tempo e stress.
Una soluzione RGPD può, ad esempio, consentire:
- la tenuta di un registro obbligatorio, una vera e propria mappatura del trattamento dei dati personali degli utenti
- la gestione degli audit di conformità condotti regolarmente dall'autorità competente
- la conservazione della prova del consenso degli utenti o dei clienti
- la categorizzazione dei dati, come i dati sensibili e le loro finalità
- l'implementazione della gestione del rischio per prevenire la fuga di dati
- la verifica delle procedure e delle tecnologie di cifratura per garantire la sicurezza dei dati
- la fornitura di strumenti e modelli di informazione per i consumatori
- l'identificazione di eventuali trasferimenti di dati verso paesi al di fuori dell'Unione Europea,
- verifica della conformità e aggiornamento dei contratti con i subappaltatori all'interno e all'esterno dell'area GDPR
- aggiornamenti sul regolamento europeo,
Abbiamo selezionato per voi diverse soluzioni che vi aiuteranno nella gestione dei vostri dati.
Zucchetti GDPR
Zucchetti GDPR è la soluzione sviluppata da Zucchetti per supportare le aziende nel passaggio alla normativa GDPR. Numerosi i vantaggi, a partire dal cloud che ne facilita l’utilizzo fino agli elevati standard di sicurezza.
Tra le sue funzionalità troviamo:
- Inserimento manuale o tramite import dei dati per una gestione a norma del Registro del Trattamento dati
- Gestione delle informazioni dell’azienda
- Creazione di template
- Analisi del rischio
Privacy in Cloud
Privacy in Cloud è un software prodotto da TeamSystem per facilitare alle imprese gli adempimenti in materia privacy. In particolare si rivolge a startup, imprese e consulenti privacy divenendo così uno strumento adatto a tutti.
Vediamone qualche caratteristica:
- Valutazione dei rischi
- Gestione trattamento dati
- Definizione ruoli
- Alti standard di sicurezza
Non lasciate niente al caso!
La gestione della privacy all’interno della vostra azienda non è qualcosa da prendere alla leggera. Non solo è obbligatorio, ma qualsiasi negligenza può comportare sanzioni significative, che si ripercuoteranno non solo sul vostro portafoglio, ma anche sull'immagine della vostra azienda.
Dopo aver completato gli studi di management, è arrivata in stage ad Appvizer nel gennaio 2019. Inizialmente ha assunto il ruolo di Country Manager Italia per poi passare a quello di International Growth Manager. Grazie alla sua passione per il marketing digitale, oggi ricopre il ruolo di Marketing Manager.
- Expertise: SEO, SEA, Marketing Automation, Lead Generation, UX, Product Marketing, Comunicazione
- Education: Università degli Studi di Pavia
- Published works and citations: Perché i tuoi clienti non aprono le tue email? (Semrush, 2019)