GDPR, da ora si fa sul serio!
Ci siamo!
Il termine finale concesso alle imprese per adeguarsi al GDPR, fissato al 19 maggio 2019 in seguito all’entrata in vigore della riforma sulla privacy con D.Lgs. n. 101/2018 per mettere in campo tutte le azioni necessarie per essere conformi con il GDPR (regolamento UE 2016/679) e il nuovo Codice della privacy, è trascorso. Gli 8 mesi di tempo dall’entrata in vigore della riforma sulla privacy (Entrata in vigore del provvedimento D.Lgs. n. 101/2018 il 19/09/2018) per mettere in campo tutte le azioni necessarie per essere conformi con il GDPR (regolamento UE 2016/679) e il nuovo Codice della privacy, sono trascorsi, dallo scorso 19 maggio 2019 non potranno più esserci scuse!!
Il 19 maggio scorso è di fatto il scaduto termine di “grazia” per adempiere agli adeguamenti previsti dal Regolamento UE 2016/679 (GDPR) sulla protezione dei dati e dal Codice della privacy, riformato dal D.Lgs. n. 101/2018. L’art. 22, comma 13, del D.Lgs. n. 101/2018, stabilisce infatti che per i primi 8 mesi dalla data di entrata in vigore del decreto medesimo (entrato in vigore il 19-09-2018 come indicato in gazzetta ufficiale), il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie. In caso di verifiche ispettive, per non incorrere in applicazioni sanzionatorie, tutti i soggetti che trattano dati personali dovranno pertanto essere conformi con quanto indicato con GDPR (Regolamento UE 2016/679) e dal DECRETO LEGISLATIVO 10 agosto 2018, n. 101.
Siete sicuri di essere in regola?
GDPR e CRITTOGRAFIA – OCCHIO AI FALSI MITI !!
Nel ricordare che il Regolamento Generale per la protezione dei dati personali o GDPR (General Data Protection Regulation – legge UE 2016/679) non indica requisiti minimi per la protezione dei dati, ma pone come principale focalizzazione “una nuova consapevolezza aziendale” sulla protezione dei dati personali e quindi ne derivano ben altre considerazioni da fare, pertanto, non è con una installazione di un qualcosa o l’implementazione di un sistema “x” o “z” che ci “mettiamo in regola” ma con la creazione di una vera e propria “strategia” di protezione dei dati personali (e quindi non solo con “strumenti”) , vogliamo cogliere l’occasione di porre l’attenzione su un metodo definito come “Compliance GDPR”, ovvero la CRITTOGRAFIA.
La crittografia, ribadiamolo, non è di per sé, rendere il nostro sistema o un trattamento di documenti “CONFORME” alla normativa GDPR, ma solo uno degli strumenti che possiamo utilizzare come no.
La valutazione di come e se impiegare questo strumento deve essere fatta all’interno di un “piano di protezione dei dati personali”.
Per dare un idea di ciò di cui stiamo parlando.. CRITTOGRAFIA , bene, cifriamo tutto il contenuto di un hard disk o solo una parte? su tutti i sistemi o solo su alcuni? con quale mezzo? password o certificato o entrambe? che impatto avrà la cifratura in termini di performance sul sistema e sulle procedure? cifriamo i documenti anche quando devono essere trasmessi esempio come allegati di posta elettronica o solamente quando gli trasferiamo sul cloud?
Tutte queste domande devono essere poste da professionisti, dopo una corretta analisi e la creazione di un vero e proprio “piano di protezione dei dati personali”, e non da “consulenti” che forse, hanno solo voglia di vendervi un nuovo prodotto/servizio magari con la scusa che è RICHIESTO dal GDPR !!!
GDPR NEWS – GDPR NEWS – In attesa del Decreto Legislativo “Protezione dati personali” per “armonizzarlo” al GDPR EU.
E’ atteso a giorni il Decreto Legislativo per “armonizzare” l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy (GDPR) che entra in vigore oggi 25 maggio 2018.
In data 22 Maggio il “GARANTE PER LA PROTEZIONE DEI DATI PERSONALI” ha espresso parere favorevole allo schema del “Decreto legislativo per “armonizzare” l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy del 21 marzo scorso*, con le condizioni di cui al paragrafo 1 e ai sottoparagrafi 2.1.1, 2.1.2, 2.2., 2.5 e 2.6, nonché con le osservazioni di cui ai restanti punti. Documento integrale del testo del “Garante” reperibile qui.
Non vi è quindi ancora certezza sul testo finale del decreto ma che ormai dopo il parere e le osservazioni del “Garante per la protezione dei dati personali” è atteso nei prossimi giorni. Appena possibile sarà pubblicato su PC.ASSIST TechNews – Newsletter di informazione ICT.
Di seguito il Comunicato Stampa ufficiale del Consiglio dei Ministri del 21 marzo 2018* sul CODICE DELLA PRIVACY relativo alle disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) (decreto legislativo – esame preliminare).
Il Consiglio dei Ministri, su proposta del Presidente Paolo Gentiloni e del Ministro della giustizia Andrea Orlando, ha approvato, in esame preliminare, un decreto legislativo che, in attuazione dell’art. 13 della legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163), introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Di fatto da oggi 25 maggio 2018, data in cui le disposizioni di diritto europeo acquisteranno efficacia, il vigente Codice in materia di protezione dei dai personali, di cui al decreto legislativo 30 giugno 2003, n. 196, dovrà essere abrogato e la nuova disciplina in materia sarà rappresentata principalmente dalle disposizioni del suddetto Regolamento immediatamente applicabili e da quelle recate dallo schema del decreto atteso, volte ad armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy.
SPECIALE GDPR – SPECIALE GDPR – SPECIALE GDPR
Da questo mese, fino a maggio, tratteremo in questa sezione il tema “GDPR”.
Lo scopo di questo “speciale GDPR” è quello di sensibilizzare tutti gli interessati al fine di conoscere la normativa che entrerà in vigore ormai tra meno di cento giorni.
GDPR Countdown: Il 25 maggio 2018 è il termine all’adeguamento al Regolamento UE 2016/679 (GDPR) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, siete pronti ?
Partiamo da questa data, infatti, il termine del 25 maggio 2018 non sarà prorogabile in alcun modo, la normativa Europea ha stabilito il termine del prossimo 25 maggio 2018 tenendo già presente le richieste Italiane indicate nel 2016, anno in cui invece, altri paesi membri, ne chiedevano già l’applicazione immediata. Quindi il 25 maggio 2018 entrerà in vigore la nuove legge UE 2016/679 denominata anche GDPR ovvero “General Data Protection Regulation” – Regolamento Generale per la protezione dei dati personali- quindi non c’è più tempo da perdere, dobbiamo capire se stiamo operando rispettando il regolamento europeo per non intercorrere in sanzioni, che come vedremo di seguito prevedono SANZIONI AMMINISTRATIVE PESANTISSIME in caso di grave violazione.
ENTRIAMO NEL MERITO:
La legge UE 2016/679 “General Data Protection Regulation” – Regolamento Generale per la protezione dei dati personali- che da ora in poi per brevità chiameremo semplicemente GDPR, reperibile per intero in Italiano al link http://bit.ly/2BvwUms oppure scaricabile in .pdf al link http://bit.ly/2obMStZ , riguarda appunto: la protezione dei dati personali, quindi come questi devono essere “trattati” per non incorrere in sanzioni.
LE SANZIONI:
Per brevità, e per capire che questa legge non deve essere presa alla leggera, possiamo dire che nei casi più gravi di violazione, le sanzioni amministrative pecuniarie possono arrivare fino a € 10.000.000, o per le imprese, fino al 2 % del fatturato totale annuo dell’esercizio precedente, ovviamente si tratta di GRAVI VIOLAZIONI, e nei casi di violazioni con dolo o colpa, ma sicuramente si tratta pur sempre di PESANTISSIME SANZIONI AMMINISTRATIVE, che cmq dovranno essere in ogni singolo caso effettive, proporzionate e dissuasive come appunto indicato nel comma 1 art. 83 della Legge EU 2016/679.
COSA CAMBIA rispetto all’attuale legge italiana d.lgs. 196/2003:
Rispetto alla protezione dei dati personali, per la stragrande maggioranza delle aziende, ovvero tutte le aziende che non trattino dati “sensibili” e con meno di 250 dipendenti, sostanzialmente cambia l’approccio, non ci sono requisiti minimi per la protezione (come era nella vecchia legge italiana, es. antivirus, lunghezza password, ecc), ma ogni azienda deve valutare “come” proteggere il “dato personale” in funzione dell’utilizzo e dei rischi.
E’ comunque previsto “come” il dato personale “deve essere trattato“, es. informative, autorizzazione al trattamento, nomine incaricati, ecc. PROPRIO DI QUESTO PARLEREMO NEL PROSSIMO ARTICOLO.
PER I VOSTRI QUESITI SUL GDPR, CONTATTATECI SUBITO SENZA IMPEGNO.
La nuova direttiva EU sulla protezione dei dati personali, meglio conosciuto come GDPR (General Data Protection Regulation, Regolamento generale sulla protezione dei dati)
Dopo l’adozione nell’aprile del 2016 del Regolamento UE 2016/679, meglio conosciuto come GDPR (General Data Protection Regulation, Regolamento generale sulla protezione dei dati), è iniziata una vera e propria corsa contro il tempo per garantire la loro conformità prima dell’effettiva entrata in vigore del Regolamento il 25 maggio 2018, pena il pagamento di pesanti sanzioni e l’avvio di potenziali procedimenti legali.
Il compito risulta esteso e particolarmente complesso perché questo Regolamento amplia molto l’ambito della responsabilità rispetto alla direttiva sulla protezione dei dati del 1995 (Direttiva 95/46/CE) precedentemente in vigore.
Il GDPR interpreta la definizione di dati personali in senso lato. Qualsiasi informazione che può essere utilizzata per identificare una persona in modo diretto o indiretto deve essere considerata un dato personale. Può trattarsi di un nomi, foto, indirizzi e-mail, coordinate bancarie, numeri di documenti di identità, post su siti web di social network, informazioni mediche e persino indirizzi IP associati a un account o un dispositivo specifico di un utente.
Tutte le organizzazioni che raccolgono, memorizzano e/o elaborano informazioni personali devono garantire la conformità al GDPR se:
- offrono beni o servizi a cittadini UE residenti nell’UE
oppure
- monitorano il comportamento di cittadini UE residenti nell’UE.
Sono incluse le organizzazioni che non hanno sede all’interno dell’UE, che non sono presenti in UE sotto nessuna forma e anche quelle con dipendenti UE ma senza clienti UE.
Insomma, se gestite in qualche modo informazioni personali che riguardano cittadini UE per beneficio di legge… il GDPR riguarda anche voi!
Tutte le organizzazioni che soddisfano questi criteri devono garantire la conformità.
Per qualsiasi informazione o chiarimento non esitate a contattarci.
fonte: http://ec.europa.eu/justice/data-protection/index_en.htm