search
Il media che reinventa l'impresa
Registrare un software

RGPD 2018: cosa c'è da sapere per preparare la propria azienda

RGPD 2018: cosa c'è da sapere per preparare la propria azienda

Da Grégory Coste.

Il 28 ottobre 2024

Tutti i nostri articoli sul RGPD :

  • Il punto di vista di 3 esperti (Google, Crayon, Infoclip)
  • Chi è interessato dalle nuove norme?
  • Il dossier imperdibile sulla conformità è qui.
  • Consultate il parere di un esperto:
    • L'audit RGPD visto da Alexis Quentrec, specialista RGPD, Nuageo
    • Una manna per i responsabili marketing, secondo Olivier Martineau, CEO, Spread
    • Un esempio di registro del trattamento dei dati di Alain Garnier, CEO, Captain DPO
    • Gli obblighi dei responsabili del trattamento dei dati, secondo Fabrice Perbost, Partner, Studio legale Harlay
    • L'anonimizzazione dei dati di Jérôme Chagnoux, campione GDPR di Oracle
  • I vantaggi del GDPR, secondo Julie Paci, Marketing Manager, Mailjet

Che cos'è il RGPD 2018? È il Regolamento generale sulla protezione dei dati personali, che entra in vigore il 25 maggio 2018 nell'Unione europea. Il CNIL lo dice chiaramente: i diritti delle persone sono stati rafforzati e le aziende devono adempiere a una serie di obblighi in materia di protezione e trattamento dei dati per conformarsi al GDPR (General Data Protection Regulation).

appvizer vi fornisce tutte le chiavi per comprendere questa nuova legge, l'importanza della sicurezza informatica e condivide con voi alcuni strumenti di conformità:

Cos'è il GDPR?

Iniziamo con i concetti più semplici per comprendere il RGPD e il suo principio generale.

Il RGPD in breve

L' acronimo RGPD sta per Regolamento Generale sulla Protezione dei Dati. GDPR è anche l'acronimo di General Data Protection Regulation.

Il GDPR è un regolamento europeo stabilito dal Parlamento europeo e dal Consiglio dell'Unione europea. Riforma le norme che regolano il trattamento dei dati personali.

Questa nuova legge si applica dal 25 maggio 2018 a qualsiasi azienda che tratti i dati personali di una persona europea, indipendentemente dal fatto che l'organizzazione operi o meno all'interno dell'Unione Europea.

In sintesi, il GDPR:

  • stabilisce che il consenso di un individuo è incondizionato per la raccolta e il trattamento dei suoi dati,
  • stabilisce le azioni obbligatorie che le aziende devono intraprendere per garantire la conformità,
  • impone pesanti sanzioni alle aziende che non si adeguano e dà ai cittadini il diritto di intraprendere azioni legali.

Il diritto di controllare i dati personali

Questo regolamento specifica e rafforza i diritti di tutti gli europei:

  • portabilità dei dati: i cittadini dell'UE devono poter prelevare i propri dati da un servizio e trasmetterli a un altro;

  • trasparenza sull'uso dei dati: i cittadini dell'UE devono essere informati su come vengono utilizzati i loro dati. Devono poter accedere ai loro dati e modificarli come desiderano;

  • tutela dei minori di 16 anni: su Internet, tutte le piattaforme devono ottenere il consenso di un genitore prima che il figlio possa registrarsi;

  • un'autorità di protezione: se i cittadini riscontrano un problema o un'anomalia nel trattamento dei loro dati, possono rivolgersi a un'unica autorità nel loro Paese per difendere i loro diritti;

  • sanzioni per le aziende che violano la legge: le aziende che non rispettano i diritti dei cittadini sono passibili di una multa pari al 4% del loro fatturato mondiale;

  • diritto all'oblio: in base al principio del rispetto della privacy, i cittadini possono chiedere che una pagina web venga rimossa dai risultati di un motore di ricerca (deindicizzazione della pagina).

Quali dati devono essere protetti?

Che siano raccolti e utilizzati tramite una piattaforma online sicura, su Internet o altrove, tutti i dati personali devono beneficiare delle garanzie di protezione previste dal regolamento europeo:

I principi di protezione dei dati devono essere applicati a qualsiasi informazione riguardante una persona fisica identificata o identificabile.

Fonte: Direttiva 2016/680 del Parlamento europeo e del Consiglio sul RGPD pubblicata nella Gazzetta ufficiale dell'Unione europea il 27 aprile 2016.

Esempi di dati personali da proteggere ai sensi del RGPD:

  • sesso
  • età
  • numero di telefono
  • indirizzo e-mail,
  • stipendio o retribuzione
  • fotografia del viso,
  • indirizzo postale,
  • stato civile,
  • nome utente e password,
  • numero di carta bancaria,
  • numero di previdenza sociale,
  • se si portano gli occhiali (e il grado di correzione),
  • eventuali caratteristiche fisiche,
  • caratteristiche psicologiche,
  • ecc.

Esempi di informazioni sensibili raccolte, ad esempio per monitorare o gestire un luogo aperto al pubblico:

  • opinione politica
  • attività sindacale
  • credenze religiose (o agnostiche),
  • preferenze sessuali,
  • informazioni mediche,
  • analisi biometriche,
  • condanne penali,
  • dati relativi a minori.

Anche i dati raccolti per finalità di profilazione dei consumatori devono essere tutelati e rientrare nel quadro di trasparenza imposto dalla legge:

  • dati raccolti su Internet tramite cookie,
  • analisi del comportamento dell'utente internet identificato sul sito web (dati comportamentali),
  • abitudini di consumo online o offline,
  • retargeting pubblicitario,
  • metadati relativi a una persona
  • ecc.

Aziende interessate

Indipendentemente dalla sua ubicazione geografica, qualsiasi azienda è interessata dal GDPR dal momento in cui tratta i dati personali di un cittadino europeo. La legge non fa distinzione tra un'azienda che opera in Europa e un'azienda con sede al di fuori dell'area europea che raccoglie e tratta i dati di un cittadino europeo o di un cittadino straniero residente in Europa.

Sono interessato dal RGPD?

La vostra organizzazione è interessata se, nel corso della vostra attività, utilizzate almeno una delle seguenti parole: prospect, cliente, dipendente, collega, paziente, contribuente, cittadino, utente, socio, donatore.

Archiviate i dati in un software CRM, su una piattaforma online o in un file?
Raccogliete, elaborate e utilizzate i dati privati dei cittadini europei?

Poiché il RGPD protegge i cittadini, c'è il 99,9% di possibilità che siate coinvolti!

I Regolamenti europei 2018 si applicano alle seguenti imprese e organizzazioni:

  • enti locali e regionali, amministrazioni
  • aziende (responsabili delle risorse umane, responsabili del trattamento dei dati dei clienti)
  • associazioni (professionali, politiche, religiose, ecc.),
  • ospedali e professionisti del settore medico,
  • società di hosting,
  • aziende di backup in cloud,
  • servizi di archiviazione dati,
  • editori di software o sistemi IT installati nelle aziende,
  • VSE, PMI, ecc.

I responsabili della protezione

La legge stabilisce che tutte le aziende coinvolte in qualsiasi fase del trattamento dei dati sono responsabili della protezione dei dati.

L' autorità di controllo in Francia è il CNIL. Questo organismo rilascia certificazioni, effettua controlli e sanziona le aziende che non rispettano la normativa.

Ecco i principali attori che devono essere chiamati a rispondere su richiesta della CNIL:

  • L'azienda che utilizza i dati personali: è responsabile del trattamento e deve adottare un codice di condotta trasparente, mettere in atto procedure conformi e fornire prove documentali in caso di ispezione;

  • Il DPO (Data Protection Officer): questo esperto è nominato dall'azienda per garantire la migliore protezione possibile dei dati. Il ruolo del DPO è quello di fornire un supporto indipendente per garantire la conformità dell'azienda al RGPD;

  • Il subappaltatore: la responsabilità del subappaltatore scatta nel momento in cui la sua attività è legata al trattamento dei dati; che la sua sede principale sia in Europa o altrove, anch'esso deve essere conforme.

Conformità e obblighi

Per preparare la vostra azienda alla conformità con il RGPD, appvizer fornisce una guida dettagliata. Ecco i punti principali.

4 articoli da ricordare della legge europea

La direttiva 2016/680 del Parlamento europeo e del Consiglio sul RGPD è stata pubblicata nella Gazzetta ufficiale dell'Unione europea il 27 aprile 2016.

Attraverso i suoi articoli di legge, questo testo ufficiale del regolamento RGPD specifica concetti importanti:

  • L 'articolo 4, "Principi relativi al trattamento dei dati personali", sottolinea in particolare gli aspetti leciti e corretti del trattamento, la pertinenza dei dati raccolti rispetto alle finalità di utilizzo, nonché la ragionevole conservazione delle informazioni nel tempo (12 mesi).

  • L'articolo 28, "Consultazione preventiva dell'autorità di controllo", stabilisce che il titolare del trattamento è tenuto a fornire, su richiesta, una valutazione d'impatto alla propria autorità di controllo. Tale autorità valuta le condizioni di protezione dei dati.

  • L 'articolo 32, "Nomina del responsabile della protezione dei dati", impone a tutte le aziende di nominare un responsabile della protezione dei dati (oltre al responsabile del trattamento) che sia ben informato sulle questioni tecniche e sui diritti, e che sia in grado di riferire all'autorità di controllo a cui fa capo.

  • L 'articolo 37, "Trasferimenti soggetti a garanzie adeguate", sottolinea che il trasferimento di dati personali verso un Paese al di fuori dell'Unione Europea richiede che il titolare del trattamento informi l'autorità di controllo e le fornisca la documentazione che specifica le "garanzie adeguate" per la protezione dei dati.

Azioni e documenti obbligatori

Questi estratti del Regolamento europeo riflettono alcuni dei nuovi obblighi dell'azienda responsabile del trattamento dei dati.

Il nuovo regolamento attribuisce alle aziende un maggiore senso di responsabilità: esse diventano responsabili del trattamento dei dati e sono tenute a documentare la loro conformità. Questo principio è noto come Accountability.

Ecco i principali obblighi da rispettare e documentare per conformarsi al RGPD:

  • Tenere un registro delle operazioni di trattamento dei dati, che includa: i responsabili, la natura dei dati, le finalità, una classificazione delle operazioni di trattamento, il periodo di conservazione, il flusso e il trasferimento dei dati geografici al fine di stabilire la tracciabilità dei dati;

  • Effettuare una valutazione d'impatto sulla protezione dei dati (DPIA): questo studio completo identifica i rischi di perdita o fuga di dati, le loro cause ed elenca le risorse e le soluzioni tecniche necessarie per la protezione e la sicurezza;

  • Implementare le procedure interne: sensibilizzare il personale e introdurre le migliori prassi, mettendo in atto tutti i processi obbligatori che consentono ai titolari dei dati di esercitare i loro diritti (rettifica, portabilità, cancellazione, ecc.);

  • implementare tecnologie che garantiscano la riservatezza e la sicurezza dei dati: tutte le procedure devono essere dettagliate per iscritto ed è fortemente raccomandato che un elevato livello di sicurezza e riservatezza sia incorporato fin dalla fase di progettazione di un'operazione di trattamento e della relativa tecnologia. Questo approccio è noto come Privacy by Design;

  • Supervisionare il trasferimento dei dati al di fuori dell'Unione Europea: verificare i contratti con i subappaltatori e i fornitori, assicurandosi che siano conformi agli standard del RGPD per evitare qualsiasi rischio;

  • Conservare la prova del consenso dei consumatori o degli utenti;

  • Dettagliare le procedure stabilite in caso di violazione dei dati: siete tenuti a informare l'interessato nel più breve tempo possibile e a comunicarlo all'autorità di controllo entro 72 ore.

Le sanzioni

Se le multe sono elevate, non bisogna dimenticare i danni che ogni cittadino può richiedere: oltre al danno economico, le ripercussioni sull'immagine dell'azienda possono distruggere la sua reputazione, e ridurre matematicamente la sua attività a causa della perdita di fiducia dei clienti.

L'importo della multa

In questo caso, la multa può arrivare a 10 milioni di euro: se l'autorità di controllo rileva che l'azienda non ha adempiuto ai suoi obblighi, come la conduzione di una valutazione d'impatto (DPIA), la tenuta di un registro delle operazioni di trattamento dei dati, l'implementazione di processi di sicurezza (anche per i suoi subappaltatori) o l'adozione dell'approccio Privacy by Design, l'azienda in questione è passibile di una multa equivalente al 2% del suo fatturato mondiale annuo.

In questo caso, la multa può arrivare a 20 milioni di euro: se l'autorità di controllo ritiene che l'azienda non stia adempiendo ai suoi obblighi sul principio del consenso e non stia rispettando i diritti delle persone, la multa sarà pari al 4% del fatturato mondiale annuo.

La posizione della CNIL

In un articolo di Les Echos (del 18/02/2018), Isabelle Falque-Pierrotin, presidente della Commission Nationale de l'Informatique et des Libertés, fornisce i seguenti chiarimenti sulla strategia di controllo della CNIL:

Saremo pragmatici e flessibili. Alcuni principi del GDPR non sono nuovi. Ad esempio, l'obbligo di specificare le finalità per cui i dati personali vengono raccolti, o i limiti sulla durata della conservazione dei dati. Verificheremo questi punti il 26 maggio, come abbiamo fatto il 12 aprile. D'altra parte, quando si tratta di nuovi principi o strumenti, come il diritto alla portabilità dei dati da un servizio all'altro, i responsabili della protezione dei dati o il registro dei trattamenti, adotteremo una posizione di sostegno. Il nostro obiettivo non sarà quello di sanzionare immediatamente le violazioni dei nuovi obblighi legati al RGPD. Questo durerà sicuramente per tutto il 2018. Dopodiché, vedremo.

Strumenti di conformità

Nel 2018, la CNIL sarà conciliante con le aziende che dimostrano buona fede. L'importante è avviare il processo e dotarsi dei mezzi per onorare i requisiti richiesti dal regolamento. Ecco alcune soluzioni di conformità al RGPD per raggiungere l'obiettivo in tutta tranquillità. Per saperne di più.

ORYGA: governance dei dati personali

  • le finalità del trattamento sono allineate con la vostra governance dei dati personali,
  • moduli di trattamento precompilati in base alle finalità per risparmiare tempo,
  • integrazione dell'approccio privacy by design nella soluzione,
  • tracciabilità dei dati e delle richieste di esercizio dei diritti,
  • processi di sicurezza dettagliati,
  • gestione integrata degli eventi e dei rischi.

Compliance Booster: soluzione di conformità con DPO on-demand

  • valutazione d'impatto (DPIA),
  • il registro del trattamento dei dati,
  • esternalizzazione del DPO (avvocati specializzati),
  • conservazione della prova del consenso,
  • trasmissione della prova del consenso alla CNIL entro 72 ore,
  • documenti completamente informatizzati e tracciabili che elencano i vostri processi di sicurezza.

Argomento di fiducia: Compliance Booster copre il rischio finanziario fino a 90 milioni di euro in caso di errore di cui è responsabile.

Privacil-DMPS: strumento di conformità per i DPO

  • sintesi della DPIA per determinare le azioni prioritarie da intraprendere,
  • una visione sinottica delle azioni completate e di quelle future,
  • procedure semplificate per gestire l'accesso e l'esercizio dei diritti sui dati personali,
  • determinazione delle finalità del trattamento
  • sono previste procedure di limitazione o distruzione in caso di richiesta.

La notifica alla CNIL entro 72 ore in caso di violazione dei dati può contenere informazioni aggiuntive, come il nome e i dettagli di contatto del DPO, la natura della violazione e le persone interessate, le conseguenze e i rischi potenziali e l'avvio di procedure appropriate.

Vantaggi a lungo termine

I vantaggi del RGPD per un'azienda o un'organizzazione si manifestano se si considerano tutti gli aspetti del regolamento a lungo termine.
Una sintesi dei benefici futuri.

Una nuova era di fiducia

Questo requisito di sicurezza che restituisce potere al consumatore ispirerà fiducia:

  • fiducia dei consumatori in aziende responsabili che rispettano i diritti delle persone quando si tratta dei loro dati,
  • fiducia tra le aziende, che ora si affidano a standard comuni.

Un nuovo clima imprenditoriale

La trasparenza creerà un nuovo clima di fiducia favorevole agli affari.

Le aziende che si assumono le proprie responsabilità proiettano un' immagine positiva e conquistano la fedeltà dei clienti. I comportamenti di acquisto e le opinioni espresse sul web e sui social network orienteranno le scelte verso le aziende più trasparenti e rispettose.

Questo segnerà la fine delle imprese opache in cui la gestione dei dati personali non viene presa sul serio.

Inoltre, le barriere commerciali tra i Paesi dell'Unione Europea - e questo include anche le aziende al di fuori dell'Unione Europea, dato che il tema del RGPD è molto in voga negli Stati Uniti - si ridurranno grazie a regole comuni di conformità del trattamento.

Costi ridotti

Cosa facevamo prima del RGPD? Moltiplicavamo i costi di conformità per 28 paesi (28 leggi diverse). L'RGPD semplificherà l'attuale confusione informatica.

Lo standard comune porterà all'individuazione e all'eliminazione di processi e applicazioni "duplicati". Di conseguenza, le risorse e i processi operativi saranno razionalizzati, con conseguenti risparmi di budget.

Marketing più efficace

Tutte le azioni di marketing digitale beneficeranno automaticamente di :

  • dati personali aggiornati- niente più informazioni imprecise,
  • consenso comprovato, che migliorerà il targeting e l'efficacia delle campagne e-mail in particolare,
  • elaborazione centralizzata dei dati- niente più versioni diverse dei file dei clienti

In definitiva, il reparto marketing risparmierà tempo, affinerà la segmentazione e realizzerà campagne di acquisizione clienti migliori.

Articolo tradotto dal francese