Tutto ciò che devi sapere sul nuovo regolamento generale sulla protezione dei dati.
Nell’aprile 2016, dopo lunghe trattative e allo scopo di armonizzare le proprie leggi sulla privacy dei dati, l’Unione Europea (UE) ha finalmente adottato il Regolamento Generale sulla Protezione dei Dati (“GDPR”, Regolamento UE 2016/679), che entrerà in vigore a partire dal 25 maggio 2018 in tutti i Paesi membri dell’Unione Europea. Il GDPR è l’atto legislativo europeo più significativo introdotto negli ultimi 20 anni in materia di protezione dei dati. Questo regolamento ha lo scopo di proteggere e rafforzare la privacy dei dati dei cittadini dell’UE e di ridefinire l’approccio alla privacy dei dati degli utenti da parte delle organizzazioni che operano all’interno dell’Unione Europea.
Cos’è il GDPR?
Il GDPR sostituisce e abroga la direttiva del 1995 sulla protezione dei dati nell’UE, ed è volto a migliorare in modo significativo la protezione dei dati personali dei cittadini dell’Unione Europea, aumentando nel contempo la conformità normativa delle organizzazioni che raccolgono o trattano dati personali. Si basa sui requisiti della direttiva del 1995 in materia di riservatezza e sicurezza dei dati, ma include anche una serie di nuove disposizioni che rafforzano i diritti delle persone interessate (utenti/cittadini) e inaspriscono le sanzioni in caso di violazioni.
Qui c’è il testo integrale del GDPR.
Perché un nuovo regolamento generale sulla protezione dei dati?
Il GDPR è stato progettato per migliorare e armonizzare le misure di protezione dei dati in tutti i paesi membri dell’UE, compreso il Regno Unito. Il regolamento obbligherà le imprese a spiegare, in modo chiaro e comprensibile, perché stanno raccogliendo i dati di un utente e se questi dati saranno utilizzati per creare profili delle loro azioni e abitudini. I consumatori avranno inoltre accesso a qualsiasi dato archiviato da qualsiasi azienda, così come la possibilità di correggere qualsiasi informazione inesatta e limitare l’uso delle decisioni prese da algoritmi.
Il GDPR non è tuttavia una direttiva sulla e-privacy, che riguarderebbe i dati relativi a email e comunicazioni di marketing.
A quali aziende si applica il GDPR
Il GDPR si applica non solo alle organizzazioni che operano all’interno dell’UE, ma anche alle aziende che intraprendono attività commerciali “reali ed effettive”. Tutte le imprese che elaborano dati e offrono beni o servizi (a pagamento o gratuitamente) ai cittadini dell’UE devono soddisfare i requisiti indicati nel GDPR. Il campo di applicazione territoriale del GDPR è molto più ampio della direttiva del 1995, in quanto si applica anche alle organizzazioni non UE che commercializzano i loro prodotti presso i cittadini dell’UE o controllano il comportamento delle persone che vivono nell’UE. Ovvero, anche se un’azienda ha sede al di fuori dell’UE, ma controlla o elabora i dati di cittadini dell’UE.
Cosa sono i Dati Personali (come definiti dal GDPR)
Per dati personali si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile.
Una persona fisica identificabile è una persona che può essere identificata, direttamente o indirettamente, mediante riferimento ad un identificatore quale un nome, un numero di identificazione, dati relativi all’ubicazione, un identificatore online o uno o più elementi specifici caratteristici dell’identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale di tale persona.
Trattamento dei dati personali nell’ambito del GDPR
Ai sensi del GDPR, la Persona Interessata è la persona fisica identificata o identificabile, vale a dire la persona fisica alla quale sono collegati i dati personali.
Il Titolare è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo, da solo o insieme ad altri, che determina le finalità e le modalità del trattamento dei dati personali.
Il Responsabile del trattamento è la persona fisica o giuridica, l’autorità pubblica, il soggetto incaricato del trattamento o altro organismo che elabora i dati per conto del titolare del trattamento.
Il Titolare dovrà avere in essere un appropriato Accordo di Trattamento dei Dati con qualsiasi terza parte che condivida i dati e sia Responsabile del trattamento.
Titolari e Responsabili sono inoltre tenuti ad attuare le opportune misure tecniche e organizzative, che includono:
- Pseudonimizzazione e crittografia dei dati personali
- Riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento
- Ripristino tempestivo della disponibilità e dell’accesso ai dati personali in caso di incidente fisico o tecnico
- Processo per testare, valutare e valutare regolarmente l’efficacia delle misure tecniche e organizzative
L’adozione di tali misure deve essere valutata e contestualizzata tenendo conto dello stato dell’arte, dei costi di attuazione e della natura, dell’ambito, del contesto e delle finalità del trattamento, nonché del rischio di variazione della probabilità e della gravità dei diritti e delle libertà delle persone fisiche.
Privacy by design: facilita l’inclusione di politiche, linee guida e istruzioni di lavoro relative alla protezione dei dati nelle prime fasi dei progetti, compresi i dati personali.
Il GDPR introduce inoltre i concetti di “Privacy by Design” e “Privacy by Default“.
Secondo il principio “Privacy by Design“, le organizzazioni devono tener conto della tutela della privacy nelle fasi iniziali della progettazione e durante l’intero processo di sviluppo di nuovi prodotti, processi o servizi che comportano il trattamento di dati personali.
Il principio di “Privacy by Default” stabilisce che per impostazione predefinita le aziende devono trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini.
Inoltre, i Responsabili del trattamento devono segnalare le violazioni dei dati personali all’autorità di controllo competenti entro 72 ore. Se vi è un rischio elevato per i diritti e le libertà degli interessati, questi devono inoltre informare le persone interessate.
Diritti individuali per il GDPR
Consenso: Il responsabile del trattamento deve assicurarsi che l’interessato abbia dato il suo consenso. Gli interessati non possono essere obbligati a prestare il proprio consenso, né ignorare che acconsentono al trattamento dei loro dati personali.
Il GDPR amplia la direttiva del 1995, rafforzando il principio dell’informativa in caso di consenso, che deve essere “libera, informata e priva di ambiguità”. Il linguaggio deve essere “chiaro e comprensibile“, cioè “chiaramente distinguibile da altre questioni”. I responsabili del trattamento sono inoltre tenuti a fornire prove della conformità dei loro processi e a seguirli in ogni caso in cui gli interessati siano invitati a fornire informazioni.
Diritto di accesso: Le persone fisiche hanno il diritto di accedere ai propri dati personali e alle informazioni supplementari, oltre che di essere a conoscenza del trattamento e di verificarne la liceità.
Diritto di rettifica: L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.
Diritto alla limitazione del trattamento: Consente alle persone di ottenere dal responsabile del trattamento la limitazione del trattamento dei loro dati in presenza di determinate condizioni.
Diritto di opposizione: Consente agli individui di opporsi al trattamento dei loro dati sulla base di interessi legittimi o dell’esecuzione di un compito di interesse pubblico/dell’esercizio di pubblici poteri (compresa la definizione di profili), del marketing diretto (compresa la definizione di profili) e del trattamento a fini di ricerca scientifica/storica e statistica.
Diritto di non essere soggetto a decisioni individuali automatizzate che producano effetti giuridici o significativi: È vietata qualsiasi attività di trattamento interamente automatizzata che porti a decisioni che abbiano un impatto sulle persone in modo sufficientemente significativo, a meno che tale trattamento non possa essere giustificato in base a una delle tre basi previste come eccezioni dall’articolo 22, paragrafo 2, ossia: l’esecuzione di un contratto, autorizzata dalla legge, o il consenso esplicito.
Diritto alla portabilità dei dati: Consente alle persone di ottenere e riutilizzare i propri dati personali per le proprie finalità attraverso diversi servizi, per spostare, copiare o trasferire dati personali facilmente da un ambiente informatico all’altro in modo sicuro, senza ostacoli all’usabilità.
Diritto alla cancellazione (“diritto all’oblio”): Questo principio stabilisce che una persona può chiedere che i suoi dati siano rimossi o cancellati quando non vi siano motivi impellenti che inducano un’azienda a continuare il trattamento di tali informazioni.
Docebo è conforme al nuovo GDPR?
Docebo è pienamente consapevole dei requisiti e delle restrizioni GDPR e sarà pienamente conforme al regolamento quando entrerà in vigore il 25 maggio.
Docebo è una piattaforma eLearning su Cloud fornita in modalità SaaS (Software as a Service) e progettata per ottimizzare la formazione aziendale, incrementando le performance e l’engagement di dipendenti, partner e clienti.
Le finalità e le modalità del trattamento dei dati personali relativi agli utenti finali della piattaforma di Docebo sono determinate dai clienti di Docebo, che agiscono in qualità di Titolari del trattamento e devono informare gli utenti finali in merito alle finalità, alle modalità e ai motivi del trattamento dei dati raccolti.
In questo scenario, Docebo svolge il ruolo di Responsabile fornendo l’utilizzo della piattaforma LMS. L’elaborazione dei dati dei clienti da parte di Docebo può essere disciplinata da un contratto ai sensi dell’appendice per l’elaborazione dei dati (DPA) di Docebo, conformemente all’articolo. 28 del GDPR.
Docebo dispone di un sistema di gestione della sicurezza delle informazioni (“ISMS”), certificato ISO 27001. In questo contesto, Docebo ha definito un programma completo di sicurezza dell’informazione, comprendente una serie completa di controlli attuati in conformità alla norma ISO 27001 e al SOC 2 dell’AICPA, che forniscono un’adeguata copertura dell’articolo 32 del GDPR, del principio di privacy by design e di altri requisiti del GDPR. Docebo è conforme alle normative UE-USA e Swiss-U.S. sulla tutela della privacy e ha ottenuto il relativo sigillo da TRUSTarc.
Come Docebo garantisce la conformità al GDPR all’interno della propria piattaforma eLearning:
I nostri clienti possono specificare la loro politica sulla privacy…
Diritto di accesso: l’utente può modificare i propri dati in caso di necessità nel portale utente.
Diritto di rettifica: l’utente può garantire che i suoi dati siano corretti nel portale utente.
Diritto alla cancellazione: l’utente può scegliere quali informazioni condividere con il titolare e può cancellare tutte le informazioni che non desidera condividere nel portale utente.
Il prossimo 10 maggio, Daniele Baudone, Chief Information Security Officer di Docebo, spiegherà come Docebo è conforme al GDPR e illustrerà quali misure adottare per preparare la tua azienda all’introduzione del nuovo regolamento.
Disclaimer: Le informazioni contenute in questa pagina non costituiscono una consulenza legale da utilizzare per la conformità alle leggi UE sulla privacy dei dati come il GDPR. Il contenuto di questa pagina è inteso solo per scopi educativi ed è volto a fornire informazioni di base, che aiutino a comprendere meglio in che modo Docebo è conforme al regolamento.
Riserva subito il tuo posto e partecipa al webinar!