Cosa devo sapere sulla normativa GDPR?

Legislazione sulla privacy

La legislazione sulla privacy non è una novità. All'interno dell'Unione Europea (UE), ogni Stato membro ha attualmente una propria legge sulla privacy. Queste leggi nazionali si basano tutte sulla Direttiva europea sulla privacy del 1995. Nei Paesi Bassi, l'attuazione nazionale di questa direttiva è la Legge sulla protezione dei dati personali (Wbp).

Regolamento generale sulla protezione dei dati è entrato in vigore il 25 maggio 2018. Ciò significa che da tale data in poi vi sarà un'unica legge sulla privacy in tutta l'UE. Il Wbp non sarà più applicabile, ma i principi fondamentali di tale legislazione continueranno a costituire il nucleo del nuovo GDPR. L'Autorità olandese per la protezione dei dati (Autoriteit Persoonsgegevens) vigila sul rispetto delle norme di legge in materia di protezione dei dati personali.

Qual è lo scopo generale del GDPR?

Lo scopo generale del Regolamento generale sulla protezione dei dati (GDPR) è proteggere i cittadini dell'UE in materia di privacy e dati personali. Il GDPR garantisce diritti relativi ai dati personali condivisi con le organizzazioni che raccolgono, archiviano ed elaborano tali dati.

A chi si applica il GDPR?

Il GDPR si applica a qualsiasi organizzazione che raccolga dati personali da cittadini dell'UE. Un'organizzazione non deve necessariamente essere stabilita nell'UE per essere soggetta al GDPR. Se un'organizzazione ha sede al di fuori dell'UE e raccoglie dati personali dall'interno dell'UE, il GDPR si applica a tale organizzazione.

Cosa cambierà?

Il nuovo GDPR inasprisce le normative rispetto all'attuale Codice in materia di protezione dei dati personali. In definitiva, gran parte rimane invariata. La minimizzazione dei dati, il diritto all'oblio, gli obblighi di informazione e gli accordi sul trattamento dei dati sono sempre stati parte integrante della legge, sebbene a volte con nomi diversi.
Rimangono inoltre importanti una solida informativa sulla privacy, una chiara informativa sulla privacy, solidi accordi tra responsabili del trattamento e titolari del trattamento e una procedura per la violazione dei dati.

Molte norme esistenti sono state notevolmente inasprite nel nuovo GDPR e sono stati aggiunti diversi nuovi obblighi. Viene posta maggiore enfasi sulla responsabilità delle organizzazioni stesse di conformarsi alla legge e di essere in grado di dimostrare la conformità.

Cosa posso fare da solo?

Come organizzazione, puoi già adottare le misure necessarie per essere pronta al GDPR. Per aiutarti, l' Autorità olandese per la protezione dei dati elencato i 10 passaggi più importanti.

Cosa sono i dati personali?

Il GDPR specifica che i dati personali sono tutte le informazioni relative a una persona fisica identificata o identificabile. Esistono molti tipi di dati personali. I dati ovvi includono il nome, l'indirizzo e il luogo di residenza di una persona. Ma anche i numeri di telefono e i codici postali con i numeri civici sono dati personali. I dati sensibili come la razza, la religione o la salute di una persona sono anche chiamati categorie speciali di dati personali. Questi ultimi godono di una protezione aggiuntiva per legge.

Cosa comporta il trattamento dei dati personali?

Il trattamento si riferisce a tutte le azioni che un'organizzazione può compiere sui dati personali, dalla raccolta alla distruzione. La legge elenca i seguenti esempi di trattamento: raccolta, registrazione, organizzazione, conservazione, adattamento o modifica, estrazione, consultazione, utilizzo, comunicazione mediante trasmissione, diffusione o messa a disposizione, raffronto o interconnessione, limitazione, cancellazione e distruzione dei dati.
La legge stabilisce che un'organizzazione può trattare i dati personali solo se necessario per una finalità specifica.

Principi di elaborazione

Il GDPR introduce principi fondamentali che tutti i trattamenti di dati personali devono rispettare:

• i dati personali devono essere trattati in modo corretto, lecito e trasparente;
• i dati personali possono essere trattati solo per uno scopo specifico ed esplicito;
• possono essere trattati solo i dati personali necessari allo scopo;
• i dati devono essere corretti e aggiornati;
• se l'identificazione non è più necessaria ai fini del trattamento, i dati personali devono essere cancellati o resi anonimi, e;
• i dati personali devono essere protetti mediante misure tecniche e organizzative.

Terminologia del titolare/responsabile del trattamento

Il GDPR utilizza i termini "titolare del trattamento" e "responsabile del trattamento" al posto dei termini "responsabile" e "responsabile del trattamento" previsti dalla Legge sulla protezione dei dati personali (Wbp). La traduzione olandese del GDPR fornisce le seguenti definizioni:

Titolare del trattamento dei dati
Persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Si tratta dei clienti Teqa che acquistano i-Reserve

Responsabile del trattamento:
persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che tratta dati personali per conto del titolare del trattamento. Si tratta di noi come organizzazione, del fornitore di i-Reserve all'hosting i-Reserve .

L'interessato
è la persona i cui dati personali vengono trattati da un'organizzazione. Si tratta della persona a cui si riferiscono i dati personali. Si tratta dei vostri clienti, ovvero degli utenti finali.

Trattamento di dati personali particolari.
Oltre ai normali dati personali, la legge riconosce anche i dati personali particolari. Si tratta di dati così sensibili che il loro trattamento potrebbe compromettere seriamente la privacy di qualcuno. Ai sensi del GDPR, il trattamento di dati personali particolari è vietato, salvo eccezioni.

I dati personali particolari sono dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute, alla vita sessuale o all'orientamento sessuale della persona. Tali dati possono pertanto essere trattati solo nel rispetto di condizioni molto rigorose.

Quali sono i cambiamenti più importanti per le organizzazioni?

Se si applica il Regolamento generale sulla protezione dei dati, le organizzazioni che elaborano dati personali hanno maggiori obblighi.

requisito
prevede che le organizzazioni siano in grado di dimostrare di aver ricevuto un valido consenso dagli interessati al trattamento dei loro dati personali. Inoltre, revocare il consenso deve essere altrettanto semplice quanto fornirlo. Deve trattarsi di un'espressione di volontà inequivocabile. Quindi, niente più caselle preselezionate! La richiesta di consenso deve essere chiara, comprensibile e presentata in un linguaggio semplice.
Infine, le organizzazioni devono essere in grado di dimostrare che l'interessato ha prestato il proprio consenso. Gli interessati hanno il diritto di revocare il consenso in qualsiasi momento e tale diritto deve essere loro comunicato.

NOTA:
Richiedere il consenso per l'archiviazione dei dati personali non è sempre necessario. Ad esempio, purché i dati archiviati siano limitati a quanto necessario per l'esecuzione del contratto. In altri casi, è necessario richiedere il consenso. Per scoprire cosa si applica al tuo caso, puoi trovare maggiori informazioni .

Obbligo amministrativo:
il GDPR impone un obbligo di documentazione, il che significa che l'organizzazione deve essere in grado di dimostrare di agire in conformità con il GDPR. Ciò include il consenso, le informazioni fornite, i diritti degli interessati, la sicurezza dei dati, la minimizzazione del trattamento e gli accordi con i responsabili del trattamento. Pertanto: mappare le attività di trattamento dei dati all'interno dell'organizzazione. Molte organizzazioni dovranno aggiornare le proprie informative sulla privacy, e questo è importante. La mancanza di un'informativa sulla privacy (completa) comporterà presto una multa salata.

Con l'entrata in vigore del GDPR, l'obbligo per il Wbp di segnalare il trattamento dei dati all'autorità di controllo non sarà più in vigore. Le organizzazioni saranno invece tenute a tenere un proprio registro delle attività di trattamento ("registro dei trattamenti") che si svolgono sotto la propria responsabilità.

Contratto di elaborazione dati:
la stipula di un contratto di elaborazione dati non è una novità, in quanto è già obbligatorio ai sensi della legge olandese sulla protezione dei dati (Wbp). Con il GDPR, questo contratto sarà ora denominato contratto di elaborazione dati e si applicherà tra il titolare del trattamento dei dati personali e la parte che tratta i dati personali per suo conto (attualmente nota come responsabile del trattamento, che presto verrà chiamata "responsabile"). La novità, tuttavia, è che il GDPR specifica diversi elementi obbligatori di questo contratto, tra cui:

• la finalità del trattamento;
• la tipologia di dati personali trattati;
• le categorie di interessati;
• che saranno adottate misure di sicurezza adeguate;
• che il responsabile del trattamento collabori con gli audit per verificare se il responsabile del trattamento rispetta tutti gli obblighi, e;
• dopo l'elaborazione, la distruzione o la restituzione dei dati personali al titolare del trattamento

D'ora in poi, il responsabile del trattamento non sarà più autorizzato a incaricare un soggetto esterno per il trattamento dei dati personali senza il previo consenso scritto del titolare del trattamento.

Valutazione d'impatto sulla privacy (PIA).
Una valutazione d'impatto sulla protezione dei dati (DPA) è uno strumento essenziale per le organizzazioni per valutare il loro impatto sulla privacy. L'utilizzo della DPA consente alle organizzazioni di integrare sistematicamente la protezione dei dati personali nel bilanciamento degli interessi e nel processo decisionale.

Il Personal Data Protection Act (PIA) specifica perché, come e per quanto tempo i dati personali vengono trattati. Una Valutazione d'Impatto sulla Privacy è obbligatoria se il trattamento dei dati personali, in particolare mediante l'utilizzo di nuove tecnologie, presenta rischi per gli interessati.

Obblighi di notifica delle violazioni dei dati:
questo requisito è già presente nella legge olandese: la notifica delle violazioni dei dati. Questo requisito è incorporato anche nel GDPR e rimane sostanzialmente invariato. Tuttavia, il GDPR impone requisiti più severi per la conservazione dei dati relativi alle violazioni dei dati che si sono verificate all'interno della vostra organizzazione. Siete tenuti a documentare tutte le violazioni dei dati.

Previeni lo stress pianificando in anticipo come reagire in caso di rischio per la sicurezza. Ad esempio, in qualità di titolare del trattamento dei dati, in alcune situazioni devi segnalare una violazione dei dati all'Autorità Garante per la Protezione dei Dati Personali entro 72 ore. Se la violazione può rappresentare un rischio elevato per le persone i cui dati sono interessati, anche queste devono essere informate. Pertanto, definisci in anticipo un flusso di lavoro per gli incidenti di sicurezza, consentendo alle persone giuste di prendere decisioni tempestive sulle azioni da intraprendere.

L'autorità olandese per la protezione dei dati ha pubblicato le norme sulla notifica delle violazioni dei dati.

Potrebbe essere necessario un responsabile della protezione dei dati.
Un responsabile della protezione dei dati (DPO) è una figura indipendente all'interno dell'organizzazione che fornisce consulenza e rendicontazione sulla conformità al GDPR. Sebbene la figura del DPO non fosse obbligatoria ai sensi della legge olandese sulla protezione dei dati (Wbp), il GDPR la rende obbligatoria in alcune situazioni. La legge richiede la figura del DPO quando si trattano dati personali sensibili, come i dati sanitari, su larga scala, o se si osservano regolarmente le persone (fisicamente o digitalmente). Un DPO può essere nominato internamente, ma può anche essere nominato esternamente.

Diritti dell'interessato
: i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato. La trasparenza è fondamentale: l'interessato deve essere informato su cosa accade ai suoi dati personali. Tutto deve essere comunicato con un linguaggio semplice e chiaro.
Oltre ai noti diritti di accesso, rettifica e opposizione, il GDPR garantisce all'interessato anche:

• il diritto all'oblio,
• il diritto alla portabilità dei dati (noto anche come portabilità dei dati),
• il diritto di limitare il trattamento e
• Diritto di opposizione a determinati trattamenti. L'interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei propri dati per finalità di marketing diretto. Qualora l'interessato presenti tale opposizione, i suoi dati non potranno più essere trattati per finalità di marketing.

Diritto di accesso:
l'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano. Qualora sia in corso un trattamento di dati personali, l'interessato ha il diritto di ottenere informazioni su tali dati. L'interessato ha il diritto di ottenere informazioni, tra le altre cose:

• le finalità del trattamento;
• le categorie di dati personali interessati;
• i destinatari a cui vengono forniti i dati personali;
• il periodo di conservazione;
• il fatto che l'interessato ha il diritto di chiedere la rettifica, la cancellazione o la limitazione del trattamento e il diritto di opporsi;
• il fatto che l'interessato possa proporre reclamo.

Diritto di rettifica e diritto di opposizione.
L'interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti. Ciò deve avvenire senza ingiustificato ritardo. L'interessato può opporsi a determinati tipi di trattamento dei dati, con conseguente possibile interruzione del trattamento dei suoi dati personali. Si consideri un'organizzazione che utilizza i dati personali per finalità di marketing. (Attualmente, esiste già un diritto assoluto di opposizione per il marketing diretto. Se un interessato esercita questo diritto, non sarà più possibile contattarlo per finalità di marketing.)

Diritto all'oblio
In alcune situazioni, l'interessato ha il diritto di ottenere la cancellazione completa dei propri dati. Il GDPR aggiunge ulteriori motivi per quest'ultimo diritto. Il GDPR introduce il diritto all'oblio. Ciò significa che il titolare del trattamento deve cancellare i dati personali senza ingiustificato ritardo, ad esempio quando i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o sono ulteriormente trattati. Richiede inoltre che, a seguito di tale richiesta, il titolare del trattamento informi le parti con cui i dati sono stati condivisi. I nomi di queste parti devono essere condivisi anche con l'interessato. Il titolare del trattamento deve adottare misure ragionevoli per cancellare i dati, inclusi eventuali link, copie o riproduzioni degli stessi.

Scopri anche l'opzione per rendere automaticamente anonimi in i-Reserve .

Diritto alla portabilità dei dati.
Il GDPR introduce il diritto alla portabilità dei dati, ovvero la portabilità dei dati personali. Ciò significa che potresti ricevere richieste dai tuoi clienti di rendere disponibili i loro dati personali. Questo si applica a tutti i dati digitali che un'organizzazione elabora con il consenso dell'interessato, oltre ai dati necessari per l'esecuzione di un contratto. Anche la cronologia delle ricerche o i dati sulla posizione rientrano nel diritto alla portabilità. Come organizzazione, sei quindi legalmente obbligata a fornire i dati in un formato "strutturato, di uso comune e leggibile da dispositivo automatico". Puoi prepararti a questo aspetto valutando come rendere disponibili i dati. Ad esempio, utilizzando uno strumento che consenta ai tuoi clienti di scaricare i propri dati direttamente e in modo sicuro.

Se tecnicamente fattibile, il titolare del trattamento dei dati deve inoltrare i dati direttamente a un altro titolare. Ciò può essere fatto, ad esempio, utilizzando un'interfaccia di programmazione applicativa (API), che consente una connessione tra il sistema e un'applicazione appartenente a un'altra parte.

In i-Reserve scaricare autonomamente i propri dati , per l'amministratore esportare o inoltrarli tramite un'API .

Privacy by default e Privacy by design
Il GDPR introduce l'obbligo di proteggere i dati tramite impostazioni standard (Privacy by default) e tramite funzionalità regolabili (Privacy by design) all'interno del software.

Il requisito della "Privacy by Default" implica l'implementazione di misure tecniche e organizzative per garantire che, per impostazione predefinita, vengano trattati solo i dati personali necessari per lo scopo specifico che si intende raggiungere. Ad esempio, laddove gli utenti possano modificare autonomamente le proprie impostazioni sulla privacy, queste dovrebbero essere impostate sul livello più alto per impostazione predefinita.

L'obbligo di Privacy by Design implica che è necessario garantire la protezione dei dati personali durante la progettazione di prodotti, servizi e processi organizzativi.

Esempi:

• Quando offri un'app, non permettere agli utenti di registrare la propria posizione se non è necessario;
• Non preselezionare la casella "Sì, desidero ricevere offerte" sul sito web;
• Se qualcuno desidera iscriversi a una newsletter, non chiedere più dati del necessario.

Clicca qui per scoprire cosa i-Reserve per proteggere e proteggere i dati personali .

La sicurezza deve essere in ordine e rimanere tale
. Proteggere i dati personali è fondamentale. Senza crittografia, autenticazione a due fattori e la possibilità di separare e cancellare in modo sicuro le informazioni personali, la tua organizzazione corre un rischio significativo.

Violazioni e sanzioni:
la sanzione massima per violazione dell'attuale Privacy Act (Wbp) è attualmente di 900.000 euro. Il GDPR conferisce alle autorità di controllo nazionali maggiori poteri per sanzionare le violazioni del GDPR. Le sanzioni sono ingenti e possono raggiungere fino a 20 milioni di euro o il 4% del fatturato annuo globale se un'organizzazione non rispetta i requisiti di legge. Le sanzioni imposte nei Paesi Bassi sono emesse dall'autorità di controllo designata: l'Autorità olandese per la protezione dei dati (AP).
Cerchi maggiori dettagli? Puoi trovare le risposte alle domande frequenti anche su autoriteitpersoonsgegevens.nl.

Cookie, spam, e-mail, telemarketing e GDPR.
Le norme per la gestione delle comunicazioni elettroniche, come cookie, tracciamento Wi-Fi, e-mail, ecc., non sono stabilite dal GDPR. Sono invece disciplinate dalla Direttiva ePrivacy , la legislazione europea vigente che sarà aggiornata nel 2018. La Direttiva ePrivacy è anche nota come Cookie Law. L'Unione Europea auspica di introdurre le norme modificate contestualmente al GDPR, offrendo al contempo ai cittadini una maggiore protezione delle loro informazioni personali. Più in generale, questo testo giuridico stabilisce le regole che le organizzazioni devono seguire per garantire la riservatezza delle comunicazioni digitali.