Maggio 2018 Nuova Normativa Europea GDPR

COS'È IL GDPR? SIETE PRONTI PER LA NUOVA NORMATIVA EUROPEA?
Il regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation) è una normativa comunitaria che controlla in che modo le società e altre organizzazioni gestiscono i dati personali. Si tratta dell'iniziativa più significativa in materia di protezione dei dati degli ultimi 20 anni, con notevoli implicazioni per qualsiasi organizzazione nel mondo che si rivolge a soggetti dell'Unione europea. Per fornire ai soggetti il controllo di come vengono utilizzati i dati e per "tutelare i diritti e le libertà fondamentali delle persone fisiche", la legislazione stabilisce requisiti rigorosi per quanto riguarda le procedure di gestione dei dati, la trasparenza, la documentazione e il consenso dell'utente. Ogni organizzazione deve custodire un registro e monitorare le attività di elaborazione dei dati personali.

In qualità di titolare del trattamento dei dati, ogni organizzazione deve custodire un registro e monitorare le attività di elaborazione dei dati personali. In questa categoria rientrano i dati personali gestiti all'interno dell'organizzazione, ma anche da terze parti, ovvero i cosiddetti responsabili del trattamento. I responsabili del trattamento dei dati possono includere fornitori di servizi a livello di software (SaaS) fino a servizi di terzi integrati di tracciamento e profilatura dei visitatori sul sito dell'organizzazione. Sia i titolari che i responsabili del trattamento dei dati devono essere in grado di dimostrare quali dati vengono elaborati, lo scopo dell'elaborazione e a quali paesi e terze parti i dati vengono trasmessi. I dati possono essere trasferiti solamente ad altre organizzazioni conformi al GDPR, o all'interno di giurisdizioni ritenute adeguate".

Tutti i consensi devono essere registrati come prova che il consenso è stato prestato. L'elaborazione dei dati personali non è consentita senza un consenso preventivo. Questo significa che il consenso deve essere prestato prima che avvenga qualsivoglia elaborazione, sulla base di informazioni chiare e specifiche in merito al tipo di dati e agli scopi per i quali sono stati raccolti. Per i dati personali sensibili, il consenso deve essere esplicito, il che sottolinea l'importanza del consenso durante l'elaborazione di dati personali sensibili.

Le persone fisiche hanno ora il "diritto alla portabilità dei dati" e il "diritto di accedere ai dati", oltre al "diritto all'oblio", e possono revocare il proprio consenso in qualsiasi momento. In tal caso, il titolare del trattamento deve eliminare i dati personali della persona fisica se non sono più necessari allo scopo per il quale sono stati raccolti. In caso di una violazione dei dati, la società deve essere in grado di notificare le autorità di protezione dei dati e le persone fisiche interessate entro 72 ore. Inoltre, il GDPR impone l'obbligo alle autorità pubbliche o alle aziende che elaborano dati personali sensibili su larga scala di impiegare o formare un responsabile della protezione dei dati. Il responsabile della protezione dei dati deve adottare misure finalizzate ad assicurare la conformità con il GDPR da parte dell'organizzazione. In relazione alla Brexit, il governo britannico prevede di implementare una legislazione equivalente che seguirà, a grandi linee, il GDPR.
Mostra di più
COSA IMPLICA IL GDPR PER IL VOSTRO SITO INTERNET?
Se il vostro sito serve persone fisiche dall'UE e voi effettuate raccolta dati tramite form di richiesta informazioni , form di registrazione, ecc. o i servizi integrati di terze parti, quali Google (raccolta dati per statistiche di accesso) o collegamenti a social quali ad es. Facebook, elaborano qualunque tipo di dato personale, è necessario che venga ottenuto il consenso preventivo dal visitatore. Per ottenere un consenso valido, è necessario descrivere al visitatore in che misura e a che scopo vengono elaborati i dati, utilizzando un linguaggio semplice, prima di procedere all'elaborazione di qualunque dato personale.
Queste informazioni devono essere disponibili al visitatore in qualsiasi momento, ad esempio all'interno dell'informativa sulla privacy. Inoltre, è necessario fornire un modo semplice al visitatore per consentire di modificare o revocare il consenso.

Tutti i consensi devono essere documentati come prova, e tutti i tracciamenti di dati personali, anche da parte di servizi integrati di terze parti, devono essere documentati, ivi inclusi a quali paesi vengono trasmessi i dati.
Mostra di più
IN CHE MODO LO FACCIAMO? 1) GESTIONE COOKIE
Con il modulo che andremo a implementare sul vostro sito web, è possibile automatizzare gli obblighi di conformità al GDPR per il sito in relazione al tracciamento e al consenso. questo ci consente di monitorare e documentare qualsiasi attività di tracciamento sul sito, di visualizzare le informazioni pertinenti ai visitatori del sito, e di ottenere e documentare automaticamente tutti i consensi prestati dagli utenti.

E’ un servizio a rinnovo annuale, la gestione avviene tramite portali che erogano questo servizio, e che Nyx imposta, configura e mantiene per conto del cliente.

2) COMPILAZIONE INFORMATIVA SULLA PRIVACY
E’ fatto obbligo di avere sul sito web aziendale, l’informativa sul trattamento dei dati. In particolare, l'informativa deve spiegare: in che modo e per quale scopo verranno trattati i propri dati personali; se il conferimento dei propri dati personali è obbligatorio o facoltativo; le conseguenze di un eventuale rifiuto a rendere disponibili i propri dati personali; a chi saranno comunicati o se saranno diffusi i propri dati personali; i diritti previsti dall'articolo 7 del Codice; chi è il titolare e (se è stato designato) il responsabile del trattamento. MODALITA’ DI TRATTAMENTO DEI DATI
Il trattamento deve avvenire riducendo al minimo l'utilizzo di dati personali (principio di necessità ), oltre che nel rispetto dei seguenti principi (articolo 11 del Codice): • liceità e correttezza del trattamento; • finalità del trattamento; • esattezza e aggiornamento dei dati; • pertinenza, completezza e non eccedenza dei dati raccolti rispetto alle finalità del trattamento; • conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento.

E’ un servizio a rinnovo annuale, la gestione avviene tramite il portale iubenda che eroga questo servizio, e che Nyx imposta, configura e mantiene per conto del cliente.

3) CERTIFICATO DI SICUREZZA SSL
il server, che ospita il vostro sito web verrà dotato del protocollo di rete per la trasmissione sicura dei dati SSL (Secure Socket Layer). I certificati SSL in pratica criptano i dati scambiati e trasmessi durante la navigazione per evitare eventuali accessi non autorizzati da parte di terzi. Tutto ciò è fondamentale se pensiamo ai dati sensibili che viaggiano sui siti aziendali e soprattutto di e-commerce, come password, dati degli utenti che accedono ai vostri form di richiesta informazioni, ecc. La certificazione SSL, oltre all’evidenza nell’URL, è dimostrata dal simbolo lucchetto verde che richiama più direttamente il concetto di protezione, dimostra, inoltre, l'autenticità del sito e dell'azienda che c'è dietro. Già a partire dal Gennaio 2018, Google ha iniziato a garantire ai siti con SSL una posizione privilegiata nei risultati di ricerca.
Da luglio, stretta ancora più forte sui siti non https, che verranno definiti non sicuri sconsigliando la navigazione agli utenti.

E’ un servizio a rinnovo annuale, i certificati devono essere rinnovati annualmente.
Mostra di più
QUAL È LA DEFINIZIONE DI DATO PERSONALE?
Il GDPR definisce dato personale "qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale." Gli identificativi online, quali indirizzi IP, sono ora considerati dati personali, a meno che non vengano anonimizzati.Anche i dati personali pseudonimizzati sono soggetti al GDPR, se tramite operazioni di reverse engineering è possibile identificare a chi appartengono i dati.
Mostra di più
DATA DI APPLICAZIONE DEL GDPR 25 MAGGIO 2018
La riforma della protezione dei dati è stata adottata dal Parlamento europeo e dal Consiglio europeo il 27 aprile 2016. Il regolamento sulla protezione dei dati si applica a partire dal 25 maggio 2018 e sostituisce la direttiva sulla protezione dei dati.
MULTE E SANZIONI DEL GDPR
Organizzazioni non conformi rischiano pesanti ammende fino a 20 milioni di euro, o al 4% del fatturato annuo globale dell'organizzazione, se superiore.