Il nuovo Petrolio
I dati, definiti ormai il “nuovo petrolio”, rappresentano il vero business per un mercato che offre opportunità non solo ai soliti grandi nomi ma anche a piccole e medie organizzazioni che si concentrano su un marketing basato su una profilazioneSi definisce profilazione qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica. sempre più accurata.
Ogni nostra attività digitale lascia delle tracce per cui determinare il comportamento degli utenti, gli interessi, il comportamento e la propensione agli acquisti, rappresenta un enorme patrimonio in cui la materia prima è proprio il “dato”.
In questo nuovo scenario, però, è importante non perdere di vista i diritti dei proprietari di questi dati. Il diritto alla protezione dei dati personali è un diritto fondamentale delle persone e direttamente collegato alla tutela della dignità umana, così come sancito dalla carta dei diritti fondamentali dell’Unione Europea.
Con l’avvento del Regolamento GDPR 2016/679, le aziende sono chiamate a gestire questo “patrimonio” e a rivedere i propri sistemi di gestione dei dati all’interno dell’organizzazione al fine di prevenirne la perdita o comunque la divulgazione non autorizzata.
In questo contesto, cosa bisogna fare per essere conformi al GDPR?
Occorre valutare, innanzitutto, lo stato attuale di un’organizzazione al fine di pianificare le attività da eseguire per essere conformi.
Un’attenta autovalutazione, magari mediante l’ausilio di una check list di riferimento, può evidenziare le attività di adeguamento prendendo in considerazione i molteplici requisiti del GDPR tra cui l’eventuale obbligo di nomina del DPOData Protection Officer Figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679, è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati. Viene designato obbligatoriamente quando: • un trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell'esercizio delle loro funzioni); • i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; • quando il trattamento riguarda, su larga scala, dati... (Data Protection Officer) o ancora la presenza di informazioni documentate quali le lettere di nomina, i registri delle attività di trattamento, la DPIAData Protection Impact Assessment La DPIA è un processo che deve essere condotto dal titolare e/o dal responsabile, consultando il DPO, per eseguire una valutazione delle attività di trattamento a rischio elevato a valle della quale, eventualmente, si rende necessario richiedere un parere del Garante per la Protezione dei Dati Personali. – valutazione di impatto sulla protezione dati e misure di sicurezza da intraprendere.
Il DPOData Protection Officer Figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679, è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati. Viene designato obbligatoriamente quando: • un trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell'esercizio delle loro funzioni); • i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; • quando il trattamento riguarda, su larga scala, dati... è l’unico vero attore di questo cambiamento?
Assolutamente NO! Che sia una risorsa interna o esterna, per svolgere efficacemente i propri compiti il DPOData Protection Officer Figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679, è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati. Viene designato obbligatoriamente quando: • un trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell'esercizio delle loro funzioni); • i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; • quando il trattamento riguarda, su larga scala, dati... devi affidarsi alle funzioni chiave di un’organizzazione: i responsabili dei trattamenti, magari nominati ad hoc in base ai settori di competenza, gli addetti ai servizi IT o ancora gli amministrativi sono “attori” indispensabili per la Data Protection.
In quest’ultimo periodo, in cui la data del 25 maggio incombe e la maggior parte delle aziende ancora deve adeguarsi, si registrano tanti interrogativi su attività svolte di routine o considerazioni che generano caos e diffusione di informazioni sbagliate.
Ecco alcuni esempi!
Come gestisco le comunicazioni mediante email?
La soluzione NON è EVITARE DI COMUNICARE!
Qualunque azienda che dispone di un settore commerciale avrà dei dipendenti dotati di un account di posta elettronica (Outlook, Gmail) dove confluiscono le email di potenziali clienti e, di conseguenza, i dati di contatto che saranno memorizzati dal gestore di posta elettronica.
Come gestisco in questo caso la questione trattamento dati?
Sicuramente i dati non più utilizzati devono essere cancellati periodicamente sfruttando le proprietà dei gestori di posta elettronica che prevedono questa funzionalità.
Potrebbe esserci, poi, un’esplicita richiesta di eliminazione dei propri dati da parte dell’interessato e, quindi, procedere alla repentina cancellazione.
Resta da chiedersi: chi lo farà?
Un altro aspetto poco chiaro riguarda la documentazione da elaborare rispetto al vecchio Codice Privacy.
Davvero basta elaborare il registro dei trattamenti per mettersi in regola?
La risposta, purtroppo, è NO! Innanzitutto è importante chiarire che il registro dei trattamenti non sostituisce il vecchio DPS (documento programmatico per la sicurezza) e soprattutto NON è UN UNICO DOCUMENTO che ci mette in regola ma un insieme di informazioni documentate che sono funzione della tipologia di organizzazione e del proprio grado di complessità.
L’esperienza Blumatica al servizio del trattamento dei dati personali!
Il software Blumatica GDPR si distingue proprio in questo, ossia nell’adattarsi alla gestione sia delle piccole attività, sia di organizzazioni grandi e complesse.
A chi si rivolge Blumatica GDPR?
La soluzione si rivolge sia ai professionisti che operano in qualità di Advisor per conto dei propri clienti, sia alle medie e grandi aziende che decidono di dotarsi di un sistema di gestione in house.
DPIAData Protection Impact Assessment La DPIA è un processo che deve essere condotto dal titolare e/o dal responsabile, consultando il DPO, per eseguire una valutazione delle attività di trattamento a rischio elevato a valle della quale, eventualmente, si rende necessario richiedere un parere del Garante per la Protezione dei Dati Personali. – Valutazione di Impatto sulla Protezione dei Dati
Tutti pensano che la DPIAData Protection Impact Assessment La DPIA è un processo che deve essere condotto dal titolare e/o dal responsabile, consultando il DPO, per eseguire una valutazione delle attività di trattamento a rischio elevato a valle della quale, eventualmente, si rende necessario richiedere un parere del Garante per la Protezione dei Dati Personali. si risolva con la valutazione dei rischi dell’attività.
Così non è! Basta analizzare il flow chart della DPIAData Protection Impact Assessment La DPIA è un processo che deve essere condotto dal titolare e/o dal responsabile, consultando il DPO, per eseguire una valutazione delle attività di trattamento a rischio elevato a valle della quale, eventualmente, si rende necessario richiedere un parere del Garante per la Protezione dei Dati Personali. presente nelle linee guida del Gruppo di lavoro Articolo 29.
La DPIAData Protection Impact Assessment La DPIA è un processo che deve essere condotto dal titolare e/o dal responsabile, consultando il DPO, per eseguire una valutazione delle attività di trattamento a rischio elevato a valle della quale, eventualmente, si rende necessario richiedere un parere del Garante per la Protezione dei Dati Personali. è un processo che segue un iter ben preciso di cui, però, non è stata definita una metodologia da applicare. Blumatica, tuttavia, è riuscita in questo intento ed ha sviluppato un metodo in fase di brevetto che porta all’analisi dettagliata di tutte le attività a rischio ALTO.
Quando un’attività è a rischio ALTO e, quindi, soggetta a DPIAData Protection Impact Assessment La DPIA è un processo che deve essere condotto dal titolare e/o dal responsabile, consultando il DPO, per eseguire una valutazione delle attività di trattamento a rischio elevato a valle della quale, eventualmente, si rende necessario richiedere un parere del Garante per la Protezione dei Dati Personali.?
Quando la valutazione di rischi rileva un livello Alto e/o quando sono soddisfatti due o più criteri definiti dalle linee guida.
Scopri di più qui
Un commento
Marco Sellitti
16 Maggio 2018 at 14:59
Salve,
Il vostro software gestionale GDPR, prevede un registro di Data Breach e di contratti per il responsabile del trattamento ? Prevede un protocollo per la protezione dei dati personali e particolari (ex sensibili) con i fornitori di servizi ( commercialista,fornitori, ecc…) ?
Cordialita’
Ufficio stampa Blumatica
16 Maggio 2018 at 15:26
Salve, Blumatica GDPR consente di essere compliance al relativo Regolamento 2016/679.
Nella specifica pagina di prodotto https://www.blumatica.it/software/privacy-gdpr/software-trattamento-dati-personali-gdpr-2016-679/ può visionare alcuni tutor di dettaglio e per ulteriori chiarimenti può scrivere a in**@bl*******.it o telefonare al settore commerciale Blumatica al numero 089.848601