GDPR Regolamento Europeo Privacy Cloud Software

Il GDPR sarà pienamente operativo dal 25 maggio 2018.
Entro questa data occorre aver definito tutti gli adempimenti prescritti dalla normativa.
Dal 25 maggio 2018 chi non si adegua al nuovo Regolamento Europeo rischia pesanti sanzioni che possono arrivare fino a 20 milioni di Euro o fino al 4% del fatturato globale annuo, se superiore, ma soprattutto rischia di dover fare seguito alle richieste risarcitorie per danni

Guarda il webinar della
presentazione di
Privacy  Cloud

Piattaforma in Cloud per gestire il nuovo GDPR
adeguato alla nuova normativa Europea

Relatore Wki . Aprile 2018

software cloud privacy gdpr per aziende pesaro linea computers

Il principio di accountability:
uno dei pilastri del GDPR

Questo principio richiede al titolare del trattamento di introdurre misure tecnico e organizzative conformi alla normativa privacy GDPR e vi è anche l’onere di dimostrare quanto messo in atto

Richiedi una consulenza Gratuita

Chiama ora ( 0721 414252 ) oppure invia un email all’indirizzo gdpr@lineacomputers.com
Per te subito una consulenza gratuita per come raggiungere la compliance GDPR 
UE 2016/679

E-book

Come raggiungere la compliance

 Scarica il Documento


Linea Guida

In materia di protezione dei dati personali

  Scarica il Documento


Privacy Cloud
la soluzione software in cloud

 Scarica la scheda prodotto


Richiedi informazioniRichiedi un preventivo

Cittadini più garantiti
Il nuovo regolamento come garanzia per i Cittadini

Il Regolamento introduce regole più chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l’esercizio di nuovi diritti, stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’Ue e per i casi di violazione dei dati personali (data breach).

 

Consenso anche on line
Consenso, strumento di garanzia anche on line

Il consenso dell’interessato al trattamento dei dati personali dovrà essere, come oggi, preventivo e inequivocabile, anche quando espresso attraverso mezzi elettronici (ad esempio, selezionando un’apposita casella in un sito web).
Per trattare i dati sensibili, il Regolamento prevede che il consenso deve essere anche «esplicito».
Viene esclusa ogni forma di consenso tacito (il silenzio, cioè, non equivale al consenso) oppure ottenuto proponendo a un interessato una serie di opzioni già selezionate.
Il consenso potrà essere revocato in ogni momento. I trattamenti effettuati fino a quel momento dal titolare sulla base del consenso rimarranno comunque legittimi.
I fornitori di servizi Internet e i social media, dovranno richiedere il consenso ai genitori o a chi esercita la potestà genitoriale per trattare i dati personali dei minori di 16 anni.

 

Diritto all’oblio
Più tutele e libertà con il diritto all’oblio

Grazie all’introduzione del cosiddetto «diritto all’oblio», gli interessati potranno ottenere la cancellazione dei propri dati personali anche on line da parte del titolare del trattamento qualora ricorrano alcune condizioni previste dal Regolamento: se i dati sono trattati solo sulla base del consenso; se i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti; se i dati sono trattati illecitamente; oppure se l’interessato si oppone legittimamente al loro trattamento.
A questo diritto si accompagna l’obbligo per il titolare del trattamento che ha pubblicato i dati di comunicare la richiesta di cancellazione a chiunque li stia trattando, nei limiti di quanto tecnicamente possibile.

 

Portabilità dei dati
Sempre liberi di trasferire i propri dati in un mercato più aperto alla concorrenza

Il Regolamento introduce il diritto alla «portabilità» dei propri dati personali per trasferirli da un titolare del trattamento ad un altro.
Ad esempio, si potrà cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati.
Ci saranno però alcune eccezioni che non consentono l’esercizio del diritto: in particolare, quando si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafi.

 

Trattamento dei dati
Cosa si intende per trattamento di dati 

Il trattamento concerne qualsiasi azione che si realizzi nei riguardi SOLO di persone
fisiche quando si gestisce un dato che li riguarda.
Per «Gestione dei dati» si intende: raccolta, inserimento, cancellazione, esportazione e
distribuzione di dati:
TRATTAMENTO DATI VIENE EFFETTUATO VERSO:
• clienti e fornitori (quando emetto documenti di trasporto, fatture ecc. verso persone fisiche)
• personale dipendente (informazioni possono essere gestite sia elettronicamente che su carta)
• prospect (campagne di marketing)
CARATTERISTICHE DEL TRATTAMENTO:
• Proprietà del dato (cliente, fornitore, dipendente)
• Motivo per cui tratto il dato (es: faccio una campagna marketing)

 

Dati personali identificativi
Alcuni esempi di dati identificativi da proteggere

nome e cognome
indirizzo (di casa)
indirizzo email (nome.cognome@dominio)
numero di telefono cellulare personale
codice fiscale
numero di targa del veicolo
numero di patente
data e luogo di nascita
genere (maschio o femmina)

 

Data Breach
Violazione di sicurezza

Con il termine data breach si intende un incidente di sicurezza in cui dati sensibili, protetti o riservati vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato. Tale divulgazione può avvenire in seguito a:

perdita accidentale : ad esempio, data breach causato da smarrimento di una chiavetta USB

furto: ad esempio, data breach causato da furto di un notebook contenente dati confidenziali

infedeltà aziendale: ad esempio, data breach causato da una persona interna che avendo autorizzazione ad accedere ai dati ne produce una copia distribuita in ambiente pubblico

accesso abusivo: ad esempio, data breach causato da un accesso non autorizzato ai sistemi informatici con successiva divulgazione delle informazioni acquisite

Esempi di violazioni di data breach

dati violati con un data breach possono riguardare gli ambiti:

>finanziario, ad esempio dati di carte di credito, di conti correnti…

>sanitario, ad esempio informazioni sulla salute personale, malattie…

>proprietà industriale, ad esempio segreti commerciali, brevetti, documentazione riservata, lista clienti …

>personali, ad esempio dati di documenti di identità, codici personali…

 

Accountability
Il principio di accountability: uno dei pilastri del GDPR

Tutto il sistema deve essere visto sotto due aspetti, al fine di rispettare anche il principio della accountability: non solo gli adempimenti devono esser concretamente svolti (“sostanza”) ma tutto ciò che viene fatto deve essere anche formalmente verificabile (“verificabilità”), sia dall’interno, sia da eventuali operazioni di auditing esterno. Ciò comporta la necessità di tenere traccia di qualsiasi operazione effettuata in un’ottica di protezione dei dati, al fine di poter ripercorrere in maniera obiettiva, in ogni momento, il percorso seguito e di valutare i risultati.

Privacy By default By design

La privacy by default richiede un ripensamento di tutti i flussi produttivi, per valutare se già sia rispettata la protezione del dato o se si possa fare qualcosa per migliorarla e per alzare il livello di protezione. La privacy by design richiede, invece, attenzione nella fase di lancio di un servizio o di programmazione di una app o di un software, ossia già nella fase costruttiva

Misure di Sicurezza
Più tutele e libertà con il diritto all’oblio

L’Articolo 32 del GDPR, infine, è quello più importante con riferimento all’implementazione di misure di sicurezza vere e proprie e intese nel senso stringente del termine.

Questa norma stabilisce come, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento debbano mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.

Esempi di misure di sicurezza

Nonostante sia stato abbandonato l’approccio delle misure minime, con elenchi molto dettagliati, l’articolo prevede comunque quattro esempi di misure:

1) la pseudonimizzazione e la cifratura dei dati personali
2) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento

3) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico
4) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Da un lato, quindi, è stato abbandonato un elenco tassativo e dettagliato di misure di sicurezza minime; dall’altro, al contempo, è il Legislatore stesso a fornire suggerimenti utili sugli obiettiviche le misure dovrebbero aiutare a raggiungere, con riferimento, in particolare, a riservatezza, integrità e disponibilità costante del dato.

 

Il software 
Privacy Cloud la soluzione software in cloud creata per aiutare le aziende, studi professionali, studi medici. 

software privacy cloud

Principali funzionalità :

Questionario di autovalutazione, fruibile in cloud

Questionario interattivo per l’individuazione degli adempimenti obbligatori.

Processo guidato per verificare l’esigenza di una valutazione di impatto sulla protezione dei dati (DPIA).

Procedura guidata dell’analisi dei rischi con librerie di minacce e contromisure.

Documentazione normativa.
Migrazione da procedure esterne (es. it.Privacy, SmartPrivacy, Privacy.Sis, PrivacyXP) dalle quali saranno esportati alcuni dati tra cui: anagrafiche ditte, sedi, uffici, dipendenti, soggetti esterni, banche dati, sistemi informativi, incarichi, documenti.

Versione per DPO e Consulenti Privacy, multi azienda e multi studio, con condivisione dell’ambiente con la singola azienda cliente.

Librerie dei trattamenti già pronti e personalizzati, in base ad alcuni parametri, tra cui il codice ATECO di provenienza dell’azienda.

Guida completa nell’analisi dei rischi con librerie di minacce aziendali già precaricate e relative contromisure.

Controllo trasparente all’utente per verificare le incoerenze sui dati inseriti.

Stampa e gestione di tutti i documenti tramite un editor di testi integrato nella procedura.

Personalizzazione stampe (informative, lettere di incarico, ecc.).

Supporto e procedura guidata per gestire Data Breach.

 

domande e risposte
Alcune domande e risposte in merito alla procedura PrivacyCloud

Q: Il software è utilizzabile da un solo PC o anche da più PC? Nel listino non ci sono le licenze aggiuntive e più di un cliente interessato al software ci ha detto che vuole poterlo utilizzare su più PC perché più persone lo utilizzeranno all’interno dello studio/azienda?
A: La soluzione è in cloud, quindi si può utilizzare da più postazioni di lavoro. Ad oggi il prodotto attiva un solo operatore per azienda.

Q: Quando sarà possibile disporre di un ambiente demo?
A: Il prodotto è disponibile in ambiente demo con le modalità descritte nella comunicazione che ne ha annunciato il rilascio.

Q: Si è obbligati a stampare e conservare il registro dei trattamenti?
A: Il registro dei trattamenti deve essere a disposizione di chi esegue l’audit della privacy.

Q: I conferimenti degli incarichi si devono dare in forma scritta e devono essere accettati per iscritto?
A: La procedura prevede la stampa

Q: Come si fa ad inviare ai clienti il questionario di raccolta dati?
A: Per clienti intendiamo le aziende che lo Studio/Consulente privacy supporta nella gestione della privacy. Privacy Cloud prevede la modalità collaborativa: l’azienda inserirà direttamente nella procedura i dati richiesti, quindi non è prevista alcun invio del questionario.

Q: Oltre al registro dei trattamenti quali altri documenti produce il software?
A: L’elenco delle funzionalità è disponibile nella scheda prodotto.

Q: Dove troviamo il manuale?
A: La procedura è interamente guidata a video. Non è previsto un manuale. Restiamo in attesa dei feed back dai primi utilizzi

Q: In un eventuale controllo, cosa bisogna esibire se non sono obbligato alla stampa del registro dei trattamenti?
A: L’audit richiederà di dimostrare di avere messo in atto tutte le azioni ritenute opportune. Il registro dei trattamenti è strumento probatorio, quindi il Garante consiglia a tutti i soggetti di tenere il Registro dei trattamenti indipendentemente dall’obbligo.

Q: Per chi utilizza le procedure in SaaS di gestione della contabilità come deve comportarsi?
A: Il fornitore del Servizio SaaS è da considerare come Responsabile per i dati che sono presenti sulle applicazioni SaaS.