GDPR: SOLUZIONI PRATICHE per Aziende e Professionisti
Benvenuto! Sei davanti alla Guida più Completa, Semplice ed Esaustiva sul GDPR che puoi trovare sul Web se sei un Professionista o una Piccola/Media Impresa.
Se hai tempo ti consiglio di leggerlo tutto, mentre se vai di fretta puoi cliccare su uno dei pulsanti qua sotto e passare direttamente alle Soluzioni Buffetti, leggere gli ultimi Aggiornamenti (19 Maggio 2019), o prenotare una Consulenza Gratuita di 15 minuti con me.
La GDPR è ufficialmente in vigore dal 25 Maggio 2018, e i modi in cui le piccole e medie imprese stanno reagendo sono essenzialmente due:
- CATEGORIA 1: Panico totale.
Ricerche e ricerche a destra e sinistra per tentare di capirci qualcosa.
“Questa normativa è l’ennesimo modo di mettere i bastoni tra le ruote a noi poveri commercianti.” - CATEGORIA 2: Noncuranza totale.
“Massì, tanto ti pare che vengono a multare proprio me…”.
Agli imprenditori della Categoria 1 voglio dire sicuramente questo: NIENTE PANICO.
Prenditi un po’ di tempo per leggere questo articolo fino in fondo.
Troverai tutte le informazioni che cerchi e i passi da seguire per poter essere a norma di legge al 100%.
A tutti quelli della Categoria 2 invece…
…ah già, probabilmente staranno facendo gli “gnorri” e difficilmente staranno leggendo questo articolo ?
Ma se per caso qualcuno di questi abbia avuto voglia di dare una sbirciatina “per sicurezza”, voglio dirgli due parole lo stesso.
PUNTO 1. La GDPR non è uno scherzo.
Si tratta di una Direttiva Europea, e volenti o nolenti, dobbiamo adeguarci e metterci in regola.
Tra l’altro lo “scandalo” di facebook – Cambridge analytica ha fatto “esplodere” la popolarità dell’argomento ancora di più…Sarà un caso? ?).
PUNTO 2. Ci sono dei Vantaggi per chi si adegua
Anche se apparentemente non sembra, adeguarsi al Regolamento ci porta in una situazione di “WIN-WIN”, cioè dove “vinciamo tutti”.
– “Vincono” le persone fisiche, grazie alla maggiore protezione riservata ai loro dati personali, che saranno meno a rischio di essere violati o ceduti a terzi.
– Vincono le aziende, che si ritrovano con i dati archiviati e conservati correttamente e con minore rischio di furto grazie alla prevenzione.
Infatti…Hai mai pensato all’importanza dei dati della TUA attività?
Ti sei mai soffermato a pensare a quanto ti costerebbe perdere dati importanti per la tua azienda, come i dati gestionali o i dati dei tuoi clienti fidelizzati (al di là delle sanzioni)?
Diciamo che con il GDPR avrai quella spinta per adottare tutte le procedure adeguate per tenere al sicuro e soprattutto non perdere questi dati, quindi considerala un’opportunità di miglioramento del tuo Business.
PUNTO 3. Anziché ragionare in termini di “Quanto mi costerà adeguarmi”…hai pensato a quanto ti costerà non farlo?
Come saprai già, le sanzioni per la violazione di dati personali sono salatissime:
- Fino a 20 Milioni di €uro
- Fino al 4% del fatturato annuo dell’azienda
Ma ripetiamo ancora una volta questo concetto.
Hai considerato il danno economico conseguente alla perdita di dati importanti per la tua azienda, oltre alle sanzioni?
Quindi il mio consiglio è questo:
Parti con il considerare non soltanto l’adeguamento alla norma, che è obbligatorio, ma anche i vantaggi che questo comporterà per la tua azienda, in termini di maggiore attenzione e migliore conservazione dei dati importanti per il tuo Business.
Vorrei proprio che ti addentrassi in questo articolo con questa Consapevolezza.
Stai cercando di adeguarti al Regolamento UE, ma allo stesso tempo stai migliorando, modernizzando e facendo crescere la tua attività.
Perfetto! Prima di iniziare voglio fare due semplici precisazioni:
1. Questo articolo è pensato apposta per Piccole e Medie Imprese (PMI) e Freelance.
Ho infatti tralasciato tutti gli aspetti che non interessano queste realtà, sia dal punto di vista teorico che pratico, per evitare di appesantire troppo la lettura.
2. L’articolo è davvero lunghissssssimo!
È diviso in 3 macro aree principali:
AREA 1: TEORIA
Fondamentale per comprendere tutti gli aspetti del Regolamento UE 2016/679 che interessano PMI e Freelance.
Leggi attentamente questa parte, perché se non comprendi bene i concetti chiave non potrai adeguarti alla Normativa nella maniera corretta.
Ho cercato di renderla il più chiara e semplice possibile, quindi non preoccuparti!
AREA 2: PRATICA
Vedremo nella pratica quali step compiere in base al tipo di dati personali che tratti.
AREA 3: SOLUZIONI
Una volta compreso cosa devi fare, ti presenterò gli strumenti per farlo nella maniera più semplice, rapida e sicura possibile. Il tutto ad un prezzo assolutamente accessibile a tutti!
Indice
AREA 1: LA TEORIA
Cos’è il GDPR
I 6 Principi Cardine della Protezione dei Dati
I 5 Protagonisti del GDPR
Cosa significa “Privacy By Design”?
Tipologie di Dati Coinvolti
Quali sono le Novità del GDPR e cosa cambia rispetto alla Legge Privacy Dlgs 196/2003?
– PRINCIPIO DI RESPONSABILITA’ (ACCOUNTABILITY)
– FORMAZIONE: Un Dovere Responsabile
– VALUTARE i RISCHI – Risk Assessment
– OBBLIGO di NOTIFICA – Data Breach Notification
– CONSENSO AL TRATTAMENTO DATI
AREA 2: LA PRATICA
Gestisci dati personali in Formato Cartaceo o su altri Supporti Fisici?
Gestisci dati personali in Formato Elettronico?
AREA 3: LE SOLUZIONI
Il Software QUI Privacy
Formazione obbligatoria: Corsi Buffetti
Conservazione e Distruzione materiale cartaceo e supporti fisici: soluzioni Buffetti
Conclusioni
– Perché pagare un canone annuale per un software come QUI Privacy?
Direi che con l’introduzione ci siamo.
Let’s go!
AREA 1: LA TEORIA
Cos’è il GDPR
GDPR è l’acronimo di General Data Protection Regulation, ed è la sigla per indicare il nuovo Regolamento UE 2016/679.
Il Regolamento determina le linee guida da adottare per quanto riguarda il trattamento e la libera circolazione dei dati in modo da garantire la protezione delle persone fisiche.
I 6 Princìpi Cardine della Protezione dei Dati
Possiamo riassumere il Regolamento in questi 6 princìpi, che rappresentano la base di una strategia aziendale per la protezione dei dati personali.
I dati devono essere:
1. Trattati legalmente, onestamente e in modo trasparente;
2. Raccolti per scopi specifici, espliciti e legittimi e non essere di conseguenza trattati in un modo che vada contro tali scopi;
3. Adeguati, pertinenti e limitati allo stretto necessario;
4. Accurati e aggiornati – si devono analizzare, eliminare o correggere potenziali imprecisioni quanto prima;
5. Non essere conservati più a lungo del necessario;
6. Trattati in modo sicuro.
I 5 Protagonisti del GDPR
Se non hai ancora compreso la differenza tra queste figure LEGGI ATTENTAMENTE perché è fondamentale!
- Soggetto interessato = qualsiasi persona fisica identificata o identificabile (nel senso che non necessariamente un dato personale è un nome e un cognome, può essere anche una fotografia, e qui siamo nell’identificabile)
- Titolare del trattamento = la persona fisica (o giuridica) che determina la finalità e i mezzi del trattamento dei dati personali.
Si tratta della persona su cui ricadono obblighi e responsabilità sulla raccolta e trattamento dei dati personali. - Responsabile del trattamento = può essere una persona fisica o giuridica che è stata incaricata o contrattualizzata dal titolare a lavorare sui dati personali di clienti, ordini, dipendenti, ecc…
- Incaricato al trattamento = la persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal responsabile. In sostanza, tutti i dipendenti che hanno accesso ai dati personali sono incaricati al trattamento dei dati (potremmo escludere ad esempio un dipendente che si occupa di attività di magazzino e non ha accesso ai dati).
- Responsabile della Protezione dei Dati (RPD) o Data Protection Officer (DPO) → La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali all’interno di un’azienda e far sì che questi siano trattati nel rispetto delle normative privacy europee e nazionali. Il DPO è obbligatorio per tutti gli enti pubblici e per le aziende private che trattano dati sensibili, trattamento dati su larga scala, o comandati da una Pubblica Autorità.
Tutti gli altri casi non sono ancora stati regolamentati in maniera chiara. - Autorità preposte ai Controlli = Garante per la Privacy italiano.
Può esserlo un qualsiasi soggetto autorizzato (es. Polizia, Guardia di Finanza), o anche altre organizzazioni degli stati membri dell’UE.
N.B. Il Titolare del Trattamento può essere anche il Responsabile, ma in alcuni casi specifici le due figure possono essere distinte e il Titolare può nominare un Responsabile, oppure essere Responsabile del Trattamento Dati di un altro Titolare.
La principale differenza è che il Responsabile NON ha potere decisionale sulla definizione di finalità del trattamento, misure di sicurezza e tutto il resto, compiti che spettano al Titolare del Trattamento.
Facciamo un esempio.
Prendiamo il caso di un’azienda X che fa assistenza software a un cliente Y in maniera continuativa.
In questo caso nel Registro dei Trattamenti dovrà essere presente la nomina di Responsabile del Trattamento (l’azienda X) nei confronti dei dati del Titolare del Trattamento (il cliente Y).
Il Responsabile NON ha la facoltà di modificare finalità e modalità di trattamento.
Come puoi vedere si tratta di un caso molto comune, e andando avanti nella lettura vedrai come tutto questo procedimento debba essere tracciato.
Cosa significa “Privacy By Design”?
Questo nuovo concetto prevede che tutti i Titolari del Trattamento Dati sono obbligate a procedere PRIMA di effettuare il trattamento, verificando che il trattamento sia “aderente” al regolamento europeo.
“Aderente” significa che tale trattamento deve avere un rischio residuo basso.
Questo è il concetto: PRIMA di fare un trattamento dobbiamo verificare che il rischio sia basso.
Dobbiamo disegnare i trattamenti, applicare le misure di sicurezza, i comportamenti virtuosi affinché i trattamenti abbiano un rischio residuale basso.
Un esempio di Privacy by Design?
Questo concetto va applicato ad esempio tutte le volte che forniamo i dati dei nostri dipendenti a uno studio paghe.
Passiamo ora al chiarire cosa si intende per “dati personali” e come si differenziano.
Tipologie di Dati Coinvolti
Il Regolamento fa distinzione tra le varie tipologie di dati personali.
In generale si definiscono dati personali le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..
Particolarmente importanti sono:
- I dati identificativi: quelli che permettono l’identificazione diretta, come i dati anagrafici (ad esempio: nome e cognome), fotografie, ecc.;
- I dati sensibili: quelli che possono rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale.
- I dati giudiziari: quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato.
A questi si aggiungono altre due tipologie di dati, che riguardano l’evoluzione della tecnologia, in particolare:
- Dati relativi alle comunicazioni elettroniche (via Internet o telefono)
- Dati che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti.
Perfetto, ti è chiaro fin qui?
Andiamo avanti.
Quali sono le Novità del GDPR e cosa cambia rispetto alla Legge Privacy Dlgs 196/2003?
Come ti ho già spiegato sopra, tratteremo solo i cambiamenti più importanti e significativi per PMI e Freelance.
PRINCIPIO DI RESPONSABILITA’ (ACCOUNTABILITY)
La tanto discussa “Accountability”, o principio di responsabilità è la vera Rivoluzione del GDPR.
Lasciando stare paroloni, questo vuol dire che il Titolare del Trattamento dei Dati deve essere in grado di dimostrare che i dati sono conservati in maniera conforme al GDPR, sia in caso di ispezione che (soprattutto) in caso di violazione dei dati.
Come facciamo a dimostrare questo?
Chiaramente non basta dirlo a parole, ma ci vogliono “le prove”.
Per dimostrarlo bisogna produrre una documentazione che dimostri che è stato fatto tutto il possibile per ridurre il rischio di violazione dei dati.
IMPORTANTE: non esistono misure minime, ma si parla di “misure adeguate”. Quindi significa che bisogna adeguarsi a TUTTE le regole, e non solo ad alcune (come si fa normalmente all’italiana).
Oddio, e come faccio a produrre tutta la documentazione?
Se vai avanti nella lettura, ti spiego passo passo cosa fare, un po’ di pazienza 🙂
Tieni semplicemente a mente che tutti i punti del Regolamento si rifanno sempre a questo principio di Responsabilità → Ergo, per ciascun punto c’è bisogno di Documentazione che attesti che è stato svolto tutto correttamente!
IL REGISTRO DEL TRATTAMENTO
Qui andiamo a sfatare subito una falsa convinzione per chi pensa di non dover tenere il registro perché “ha meno di 250 dipendenti”.
Leggiamo bene la normativa!!!
ATTENZIONE! Il Regolamento è obbligatorio per aziende con più di 250 dipendenti e per tutte le aziende che trattano dati in maniera continuativa.
Cosa significa?
Significa che se nel database del tuo gestionale hai i dati dei tuoi clienti abituali, se hai Fidelity Card, ma anche semplicemente se hai dei dipendenti (e quindi per forza di cose hai i loro dati), DEVI tenere un Registro del Trattamento.
Capisci quindi come questo si applichi alla stragrande maggioranza dei casi, escluse piccole attività che NON hanno dipendenti, emettono solamente scontrini NON parlanti e che NON hanno programmi di Fidelity Card, o che prendono i dati per prestazioni occasionali e non li conservano.
Cosa deve contenere il Registro del Trattamento del Titolare?
Bisogna inserire tutti i trattamenti riguardanti i dati personali delle diverse categorie.
Vediamo alcuni esempi comuni:
- trattamento dei dati personali dei dipendenti.
- trattamento dati dei clienti a fini di marketing
- trattamenti indispensabili per la stipulazione di un contratto con il cliente
- videosorveglianza
- ecc…
Per ognuno di questi trattamenti dovremo definire e “censire” gli Assets, cioé tutti gli strumenti con cui realizziamo il trattamento dei dati, come:
- Strumenti Fisici (PC, notebook, videocamere, ecc..)
- Strumenti Informatici (Database, Reti di comunicazione, Servizi in Cloud, Servizi web, ecc…)
Per ognuno di questi trattamenti dovremo definire inoltre:
- Le finalità del trattamento
- La descrizione delle categorie di interessati e delle categorie di dati personali
- Termini ultimi previsti per la cancellazione delle diverse categorie di dati
- Descrizione generale delle misure di sicurezza tecniche e organizzative.
E nel caso del Responsabile del Trattamento?
Anche in questo caso si avrà un Registro in cui si tiene nota di:
- Dati del Responsabile del Trattamento
- Categorie dei trattamenti effettuati per conto dei vari Titolari di Trattamento
- Descrizione generale delle misure di sicurezza tecniche e organizzative.
Ovviamente in questo caso non teniamo nota delle finalità perché sappiamo bene che è compito del Titolare definirle.
Come vedi questo processo può risultare davvero lungo ed estenuante se fatto completamente a mano.
Buffetti ha però ideato una soluzione pratica ed economica per risparmiare ore e ore di lavoro e soprattutto per evitare errori!
Te ne parlo in fondo all’articolo.
Per ora andiamo avanti a comprendere il Regolamento. So che è un po’ noioso ma davvero fai lo sforzo di cercare di capire questi concetti, e alla fine sarà tutto in discesa!
FORMAZIONE: Un Dovere Responsabile
Come si fa ad essere responsabili del trattamento dati personali, se non si è adeguatamente formati al riguardo?
Ecco perché all’interno del principio di Accountability rientra la capacità del Titolare di dimostrare di aver compiuto ed attuato le necessarie (e diversificate) procedure di informazione per tutti coloro (Titolari, Dipendenti, Collaboratori anche occasionali) che a vario titolo fossero chiamate a trattare Dati Personali, con mezzi propri e senza richieste a titolo oneroso agli interessati.
Come facciamo a dimostrare questo?
Bisogna produrre e conservare tutta la documentazione che dimostri l’avvenuta formazione, con un Corso Nominativo che rilasci un Attestato finale.
Non sottovalutare assolutamente l’obbligo formativo: infatti in caso di mancata formazione scatta la sanzione amministrativa pecuniaria fino a 10 milioni di euro o fino al 2% del fatturato annuo!
Inoltre l’Autorità Garante Privacy e la Guardia di Finanza possono effettuare accertamenti ispettivi riguardo proprio all’adempimento degli obblighi formativi.
Dove li trovo questi corsi?
In fondo all’articolo trovi tutte le Soluzioni, Corsi compresi 🙂
Se invece hai fretta, clicca qui per avere maggiori informazioni sui Corsi di Formazione Buffetti sul GDPR.
Passiamo ora ad un’altra fondamentale novità della GDPR.
VALUTARE i RISCHI – Risk Assessment
Qui la situazione si fa molto astratta.
Si parla di valutare il rischio che si ha nel trattare determinati dati personali, nel caso in cui vengano violati secondo una scala (basso, medio, alto).
In ogni caso la valutazione dei rischi va fatta per definire successivamente quali saranno le MISURE DI SICUREZZA OBBLIGATORIE per adeguare le attuali procedure di trattamento.
Anche per questo punto possiamo evitare di andare nel panico, perché la SOLUZIONE che troverai in fondo alla pagina lo risolve in una maniera semplicissima.
Avanti col prossimo punto!
OBBLIGO di NOTIFICA – Data Breach Notification
Si tratta dell’obbligo di denunciare al Garante per la Privacy un’eventuale Violazione dei Dati entro 72 ore dalla scoperta.
N.B.: Per “violazione dei dati personali” si intende qualsiasi violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
E come detto prima, oltre a denunciare si dovrà essere in grado di dimostrare che si è fatto tutto il possibile per limitare al minimo i danni.
Queste due procedure servono a limitare il più possibile le sanzioni, che in caso contrario saranno salatissime come ben sai!
Inoltre se la violazione dei dati comporta un rischio elevato per la libertà delle persone interessate, bisognerà provvedere ad avvisare anche gli interessati di tale violazione.
CONSENSO AL TRATTAMENTO DATI
Per dare il consenso al trattamento dati si richiede un processo attivo che deve essere DIMOSTRABILE (strano, eh?).
Un esempio potrebbe essere la classica compilazione di una apposita casella (che non dev’essere pre-compilata).
Una novità è che può costituire trattamento illecito dei dati il consenso unico per una pluralità di finalità incompatibili, compreso il marketing e promozione di beni o servizi oppure comunicazioni indesiderate in violazione dell’art. 130 C.d.P.
Tradotto significa che se prima bastava una casella per dire “Acconsento al trattamento dei dati”, e il Titolare poteva farci ciò che era scritto sulla sua Privacy Policy, dal 25 maggio 2018 NON è più possibile.
Infatti bisognerà avere più caselle selezionabili, separando l’iniziativa di marketing e promozione di beni o servizi dalle altre.
DIRITTO ALL’OBLIO
Conferisce ai soggetti il diritto alla cancellazione immediata dei loro dati personali.
Ci sono anche altre cose da considerare, ma diciamo che queste sono quelle fondamentali e che interessano praticamente la totalità delle Piccole e Medie Imprese e i Freelance che lavorano sui progetti di queste ultime.
Se vuoi leggere il regolamento completo puoi scaricarlo da qua.
Queste notizie le puoi trovare su altre mille fonti, ma era doveroso spiegarle anche qui.
Ora passiamo alla parte interessante.
Come diavolo dobbiamo muoverci?
Quali passi dobbiamo fare per essere a norma?
Lo vediamo nell’Area 2: Pratica.
AREA 2: LA PRATICA
Se non tratti dati in formato cartaceo passa direttamente allo step successivo.
Gestisci dati personali in Formato Cartaceo o su altri Supporti Fisici?
Sto parlando di fatture, scontrini parlanti, ma non solo…
Ad esempio, hai pensato al fatto che le fotografie siano un dato che consente l’identificazione di una persona fisica?
Mi vengono in mente gli studi fotografici. Tutte le fotografie stampate e non necessarie dovrebbero essere distrutte correttamente e non semplicemente accartocciate o strappate e gettate nel cestino!
Inoltre per Supporti Fisici si intendono CD/DVD, carte di credito, hard disk e dischetti.
Ma prima di tutto vediamo come richiedere questi dati al cliente.
Per fare la raccolta dati devono essere utilizzati dei moduli appositi che vanno compilati e firmati dal cliente e che devi conservare per 10 anni.
Questi moduli devono contenere:
- I campi da far compilare con i dati che ti interessano.
- L’Informativa sulla Privacy, dove viene spiegato in maniera chiara come verranno usati i dati e che NON verranno ceduti a terzi.
- La dicitura per l’Accettazione al trattamento dei dati personali, con sotto due caselle da spuntare con scritto “Do il consenso” e “ Nego il consenso”.
- Se desideri inviare materiale promozionale e fare Marketing diretto, va inserita anche la dicitura “Acconsento al trattamento dei dati personali, per finalità legate ad attività di marketing diretto (invio di materiale formativo e promozionale)” o qualcosa del genere (l’importante è che sia chiara la finalità del trattamento dati), con sotto altre due caselle da spuntare (separate da quelle precedenti) con scritto “Do il consenso” e “ Nego il consenso”.
- Lo spazio per la firma del cliente.
N.B. Nel caso in cui i dati siano per l’iscrizione a una Fidelity Card, dovrai allegare anche un foglio contenente il Regolamento e la nota informativa sulla Privacy.
Ora passiamo alla CORRETTA CONSERVAZIONE e DISTRUZIONE DEI SUPPORTI FISICI.
- I documenti cartacei e i supporti contenenti dei dati non più utili all’azienda devono essere distrutti in maniera sicura attraverso un distruggidocumenti o correttamente smagnetizzati.
- I documenti cartacei e i supporti che invece sono ancora utili devono essere tenuti in maniera organizzata in scatole e raccoglitori in modo da essere facilmente reperibili in caso di bisogno.
- I documenti e i supporti contenenti dati sensibili devono essere tenuti in armadietti chiusi a chiave e dovrebbero essere accessibili solo a personale aziendale autorizzato.
- Non dimenticare di includere i dipendenti che lavorano da casa o che viaggiano spesso, istruendoli su come proteggere i propri documenti.
FOCUS sulla DISTRUZIONE DEI SUPPORTI FISICI
1. Livello di Sicurezza richiesto
2. Tipologia di Documenti da distruggere (solo carta o anche CD, DVD, graffette, ecc..)
3. Prestazioni desiderate. Ne esistono di più o meno efficienti a seconda della quantità di documenti da distruggere contemporaneamente, in base al livello di rumorosità, ecc…
Trattare questo argomento in maniera dettagliata richiederebbe un articolo a parte, ma soffermiamoci un attimo sul primo punto, che è quello che ci interessa in questo articolo: il Livello di Sicurezza.
In particolare qui vige ancora la Norma DIN 66399 che definisce 7 Livelli di Sicurezza per la Distruzione della Carta e di altri supporti fisici come CD/DVD, carte di credito, hard disk e dischetti.
LIVELLO DI SICUREZZA 1: Documenti di carattere generale che devono essere invalidati o resi illeggibili.
LIVELLO DI SICUREZZA 2: Documenti interni che devono essere invalidati o resi illeggibili.
LIVELLO DI SICUREZZA 3: Supporti dati con dati sensibili, riservati e personali che richiedono una maggiore protezione.
LIVELLO DI SICUREZZA 4: Supporti dati con dati particolarmente sensibili e riservati nonché dati personali che richiedono una maggiore protezione.
LIVELLO DI SICUREZZA 5: Supporti dati con informazioni strettamente segrete di rilevanza per l’esistenza di una persona, azienda o istituzione.
LIVELLO DI SICUREZZA 6: Supporti dati con documenti strettamente segreti, quando è necessario
LIVELLO DI SICUREZZA 7: Per dati strettamente segreti, per cui necessario adottare le misure di prevenzione di massima sicurezza.
In base al Livello di Sicurezza bisognerà dotarsi di un Distruggidocumenti di Classe adeguata (da P-1 a P-7), che attua diversi tipi di taglio:
- Il taglio a strisce, ideale per livelli di sicurezza limitata (P-1 e P-2);
- Il taglio incrociato, che risponde a livelli di sicurezza media (P-3 e P-4);
- Il microtaglio per livelli di sicurezza elevata (P-5);
- Il super microtaglio per il livello di sicurezza massima (P6 e P7).
Di seguito trovi uno schema con la classificazione.
| CLASSIFICAZIONE | CARTA, PELLICOLA, ETC |
| P-1 riduce il volume della carta straccia | particelle ≤ 2cm² o ≤ 12mm strisce |
| P-2 ad uso personale, i frammenti rimangono leggibili | particelle ≤ 0,8cm² o ≤ 6mm strisce |
| P-3 documenti riservati, difficile il riassemblaggio e la lettura | particelle ≤320mm² o ≤ 2mm strisce |
| P-4 documenti riservati, estremamente difficile il riassemblaggio | particelle ≤ 160mm² e larghezza particella 6 mm max (es.4x38mm) |
| P-5 documenti strettamente riservati, impossibile il riassemblaggio | particelle ≤ 30mm² e larghezza particella 2mm max (es. 2x15mm) |
| P-6 sicurezza ancora più elevata per documenti di estrema sensibilità | particelle ≤ 10mm² e larghezza particella 1 mm max (es.0.8×12 mm) |
| P-7 il maggiore livello di sicurezza possibile | particelle ≤ 5mm² e larghezza particella 1mm max (es. 0.8x5mm) |
I Distruggidocumenti Buffetti
TUTELA DEI DATI PERSONALI IN CASA
→ Livello di Sicurezza Consigliato: P-2
Ricorda che i dati sensibili sono contenuti nelle ricevute delle bollette, negli estratti conto, copie di contratti di attivazione di tutti i tipi di utenze, richieste di finanziamenti, polizze assicurative, scontrini e ricevute di carte di credito, vecchie carte di credito, carte telefoniche e tessere fedeltà.
TUTELA DEI DATI PERSONALI PER I NEGOZI AL DETTAGLIO
→ Livello di Sicurezza Consigliato: P-2
Ricorda che i dati sensibili sono contenuti nei dettagli clienti e fornitori, listini prezzi, informazioni sullo stock di magazzino, scontrini e ricevute di carte di credito, documenti e pratiche di concessione di credito al consumo, vecchie carte e tessere fedeltà.
TUTELA DEI DATI PERSONALI PER PICCOLE AZIENDE
→ Livello di Sicurezza Consigliato: P-4
Ricorda che i dati sensibili sono contenuti nei dettagli dei clienti, dei fornitori e dei dipendenti, listini prezzi, preventivi, documenti firmati, ricevute di vecchi pagamenti e tasse, piani finanziari, richieste di prestiti, note con indirizzi e numeri di telefono di fornitori, clienti e dipendenti.
TUTELA DEI DATI PERSONALI PER STUDI MEDICI, AMBULATORI E FARMACIE
→ Livello di Sicurezza Consigliato: P-4
Ricorda che i dati sensibili sono contenuti nei dettagli dei pazienti, dati degli impiegati, ricette da banco, ricette non ripetibili, carta intestata, vecchie cartelle cliniche, vecchi ricettari.
TUTELA DEI DATI PERSONALI PER STUDI PROFESSIONALI/LEGALI
→ Livello di Sicurezza Consigliato: P-5
Ricorda che i dati sensibili si trovano nei documenti contenenti informazioni personali di clienti ed assistiti quali indirizzi, numeri di telefono, fotocopie di documenti di identità, appunti su cause in corso, vecchi documenti o dossier, report di investigazioni, informazioni creditizie.
TUTELA DEI DATI PERSONALI PER ASSICURAZIONI, BANCHE E FINANZIARIE
→ Livello di Sicurezza Consigliato: P-5
Ricorda che i dati sensibili si trovano nei documenti contenenti informazioni personali di clienti quali indirizzi, numeri di telefono, fotocopie di documenti di identità, richieste di finanziamento, estratti conto della carta di credito, estratti conto finanziari, richieste di mutuo, informazioni del personale, estratti conto interessi, informazioni creditizie, polizze assicurative.
Vuoi sapere come Scegliere il Modello più adatto alle tue esigenze?
Andiamo avanti e vediamo la gestione dei dati in formato elettronico.
Gestisci dati personali in Formato Elettronico?
È il tuo caso se la tua attività gestisce:
- Fidelity Card non cartacee
- Email Marketing
- Aree riservate all’interno del tuo sito web che richiedono accesso con credenziali
- Software Gestionale con Database contenente l’Anagrafica dei Clienti / Fornitori
In questo caso la situazione è un po’ più complessa, ma non impossibile da risolvere (in fondo all’articolo scoprirai come).
Andiamo per gradi.
Se hai un sito web
Devi avere una pagina dedicata alla tua Privacy Policy con un link su tutte le pagine del sito, chiara e di facile consultazione.
Se richiedi dati personali tramite il tuo sito web con un Modulo di Contatto (sia per la richiesta informazioni, che per inviare materiale promozionale)
Devi utilizzare, come per il consenso cartaceo:
- La dicitura per l’Accettazione al trattamento dei dati personali, con sotto due caselle da spuntare con scritto “Do il consenso” e “ Nego il consenso”.
- Se desideri inviare materiale promozionale e fare Marketing diretto, va inserita anche la dicitura “Acconsento al trattamento dei dati personali, per finalità legate ad attività di marketing diretto (invio di materiale formativo e promozionale)” o qualcosa del genere (l’importante è che sia chiara la finalità del trattamento dati), con sotto altre due caselle da spuntare (separate da quelle precedenti) con scritto “Do il consenso” e “ Nego il consenso”.
Se tracci l’attività degli utenti per fini statistici e/o remarketing attraverso i cookies
Non è più sufficiente il banner unico in cui basta cliccare su “Ok” oppure continuare a navigare per avere il consenso.
Come abbiamo spiegato nella Teoria, per essere a norma con la GDPR il consenso dev’essere esplicito, quindi anche in questo caso bisogna prevedere caselle differenti e che l’utente può selezionare a suo piacimento, relativamente a:
- Cookies necessari per continuare a navigare il sito web
- Cookies per finalità Statistiche (es. Google Analytics)
- Cookies per finalità di Marketing, Fidelizzazione o Profilazione (es. Pixel di Facebook)
Mentre le prime due caselle possono essere pre-compilate, quella relativa al Marketing NON deve esserlo.
Hai un sito web e hai ancora il classico banner cookie con consenso implicito?
Non sei più a norma!
Possiamo aiutarti, scrivici a info@toprimini.it per informazioni
N.B. In tutti i casi sopra citati deve essere SEMPRE possibile il diritto di recesso, che dev’essere ben visibile e attuabile, così come la possibilità di cambiare il consenso fatto in precedenza.
Se fai Email Marketing
Ricorda che la persona che lascia la sua email deve aver acconsentito al trattamento dati di cui abbiamo parlato sopra (in forma cartacea o online).
Inoltre per essere a norma devi:
- Utilizzare strumenti professionali “GDPR compliant”, come Mailchimp, Active Campaign, Getresponse e così via (e assolutamente non inviare email massive con il tuo account yahoo o gmail).
- Dare la possibilità ai tuoi utenti di cancellarsi in qualsiasi momento con un click. Quindi assicurati di avere il link di disiscrizione sempre presente in fondo alle tue email.
- Dare la possibilità ai tuoi utenti di modificare e aggiornare i loro dati in qualsiasi momento. Per far questo assicurati di avere il link apposito sempre presente in fondo alle tue email.
- Inserisci sempre in fondo alle tue email un link che porti alla pagina della tua Privacy Policy.
In sostanza il footer (piè di pagina) delle tue email dovrebbe essere una cosa del genere:
Riguardo a tutto quello che abbiamo detto finora, la Documentazione va utilizzata per completare il Registro del Trattamento dati personali, in modo che in caso di ispezioni da parte del Garante Privacy siamo in grado di dimostrare di star facendo tutto il possibile per evitare che ci siano violazioni dei dati.
Penso tu abbia capito che fare tutto questo lavoro da soli comporta due cose fondamentali:
- ore e ore di lavoro
- rischio altissimo di sbagliare qualcosa se non si è esperti del settore.
Benissimo, passiamo quindi alle Soluzioni!
AREA 3: LE SOLUZIONI
In questa parte trovi le migliori soluzioni per adeguarti al GDPR velocemente e senza pensieri!
Alle fine trovi un riepilogo schematizzato con tutti gli step pratici e i relativi costi.
Partiamo!
IL SOFTWARE QUI PRIVACY
QUI Privacy è il Software sviluppato dal gruppo Dylog Buffetti proprio per guidare e aiutare il Titolare a gestire tutti gli aspetti del Regolamento.
È stato realizzato da un team di sviluppo e da consulenti specialisti della Normativa.
È costruito su misura per le Piccole e Medie Imprese, ma ricopre completamente tutti gli aspetti del Regolamento GDPR e può tranquillamente essere utilizzato anche da aziende più grandi e strutturate.
Vediamo tutti i vantaggi:
Software sviluppato e fruibile in cloud
Bastano un PC o uno Smartphone e una connessione a internet e potrai accedervi da ovunque tu voglia.
Interfaccia semplice, intuitiva e guidata
Con menu che ti guida passo passo verso le operazioni da compiere in sequenza.
Consideriamo la parte relativa alla Valutazione del Rischio relativo a un Trattamento Dati Personali.
Come abbiamo visto sopra si tratta di un concetto molto astratto, e non si sa bene da dove partire per fare questo tipo di analisi.
Con QUI Privacy il problema è risolto! Come?
Con un semplice Questionario di 20 domande a cui dovrai rispondere selezionando le risposte da un menu a tendina che riguardano i vari aspetti della Normativa.
Una volta completato il questionario ti verrà automaticamente calcolato il Rischio relativo al Trattamento.
E in seguito a questo ti verrà proposta già una serie di Misure da Adottare per la Prevenzione e la Gestione dei Rischi da dichiarare.
…più facile di così!
Ma non finisce qui!
Tutto in Regola e in Sicurezza in un unico luogo
Avrai tutto il materiale in regola e conservato in un unico luogo all’interno dell’applicazione, senza rischio di perdere il lavoro fatto, grazie a protocolli di comunicazione protetti per garantire massima sicurezza delle chiamate tra il client e il server.
Glossario, FAQ e Aggiornamenti
Al suo interno trovi un Glossario della terminologia da sapere, una sezione FAQ con le risposte alle domande frequenti e una parte relativa alle novità normative che viene costantemente aggiornata, assieme ovviamente al Software.
BONUS: Registri Precompilati
All’interno del Software QUI Privacy trovi addirittura dei Registri Trattamento Dati precompilati per le finalità più comuni, come:
– Trattamento dati per la Prestazione Professionale di un Commercialista
– Trattamento dati per la Gestione Amministrativo-Contabile interna
– Trattamento dati per finalità di Marketing
– Trattamento dati indispensabile per il rapporto datore di lavoro-dipendente
– Trattamento dati indispensabile per l’esecuzione di contratti con il cliente
– Videosorveglianza
– e tanto altro
Hai idea del tempo che risparmi in questo modo?
Può esserci ancora di più? Ebbene sì!
Con QUI Privacy puoi:
Generare automaticamente le informative e le nomine
Con possibilità di personalizzarle per la propria realtà aziendale, di scaricarle e stamparle con un click.
Documenti richiesti ai fini dell'Accountability
Potrai produrli in modo guidato, scaricarli e stamparli con un click.
Creare uno storico della Documentazione prodotta
Per mantenere ed aggiornare nel tempo le informazioni.
Comunicazioni in caso di Data Breach
Produrre eventuali comunicazioni per violazioni di dati personali all’Autorità Garante.
Ok, tutto questo quanto mi viene a costare?
Immagino sia questa la domanda che ti frulla in testa in questo momento.
Intanto ti anticipo che QUI Privacy costa meno di una consulenza e molto molto meno che farsi fare il lavoro da qualcuno.
Dico la verità, per noi di TOP Rimini questo Software è stata una vera e propria manna dal cielo!
Inoltre per gruppi di aziende, studi professionali, commercialisti e centri che vogliono erogare questo tipo di servizio, è prevista una configurazione multi-azienda con tagli per numero di aziende da gestire.
Trovi tutte le informazioni cliccando il pulsante qua sotto:
FORMAZIONE OBBLIGATORIA
Il Gruppo Buffetti offre Corsi di Formazione, in particolare:
- Corso per Titolari del Trattamento dei Dati Personali (4 ore)
- Corso per Responsabile del trattamento dei dati personali (4 ore)
- Corso per l’Incaricato al Trattamento dei Dati Personali (2 ore)
Si tratta di corsi con Formazione A Distanza (FAD), quindi fruibili quando e dove vuoi.
Una volta terminati i corsi vengono sottoposti dei test e viene rilasciato un attestato di partecipazione e frequenza, che verrà conservato anche all’interno del Registro del Trattamento realizzato con QUI Privacy.
Vuoi maggiori informazioni?
CONSERVAZIONE e DISTRUZIONE dei DOCUMENTI CARTACEI e/o SUPPORTI FISICI
I Distruggidocumenti Buffetti sono 100% a norma di legge.
Vieni in negozio e valuteremo insieme quello più adatto alle tue esigenze!
Offriamo anche soluzioni per la corretta Conservazione dei documenti cartacei e supporti fisici a seconda del tipo di dati che tratti (da scatole per archivio classiche, ad armadietti chiusi a chiave).
ASSISTENZA TECNICA PER IL TUO SITO WEB
Hai un sito web e vuoi essere sicuro che sia in linea con la Normativa al 100%?
Oppure sai cosa fare ma non hai le competenze tecniche per farlo?
Allora non esitare a contattarci, noi possiamo aiutarti!
Illustraci la tua situazione particolare, e riceverai un preventivo su misura per te.
Conclusioni
Concludiamo ricapitolando velocissimamente cosa deve fare un’attività nella pratica per essere compliant:
- Tenere e compilare il Registro dei Trattamenti (può essere in formato cartaceo, ma andrebbe compilato da un legale, oppure puoi utilizzare QUI Privacy, e creare il tuo Registro in maniera guidata, semplice ed economica).
- Acquistare un Distruggi Documenti con Livello di Protezione adeguato (P4 o superiore, taglio a frammenti o microframmenti) se hai materiale cartaceo (o su supporti come CD/DVD) contenente Dati Personali.
- Formarti adeguatamente con il Corso per il Titolare del Trattamento, ed eventualmente con quello per il Responsabile del Trattamento (se tratti dati di terzi). Non dimenticare di provvedere alla formazione di tutti i Dipendenti che trattano Dati Personali con il Corso per Incaricati al Trattamento Dati.
- Redarre una Privacy e Cookie Policy per il tuo sito web e metterti in regola per quanto riguarda la il banner cookie.
- Raccogliere Dati con Finalità di Marketing sempre previo consenso esplicito e separato (cartaceo o con apposita spunta nei moduli di contatto online).
Una volta compilato il Registro del Trattamento, e fatta un’Analisi dei Rischi (che nel caso di QUI Privacy è inclusa e guidata), potrai valutare eventuali altre Misure di Sicurezza da adottare (es. antivirus, crittografia, sistemi di backup e quant’altro).
La cosa importante da capire è che per essere “Compliant” non basta fare il minimo indispensabile, ma deve essere un processo CONTINUO.
Infatti il Regolamento prevede che una volta analizzato il proprio caso specifico e prese delle Misure di Sicurezza, si debba ri-analizzare la situazione e vedere cos’altro si può migliorare.
Si tratta di un ciclo continuo di:
E con questo concetto andiamo a rispondere a una domanda che ci viene fatta spesso.
Perché pagare un canone annuale per un software come QUI Privacy?
Infatti, anche se hai seguito passo passo la normativa e messo in sicurezza i dati personali che la tua attività tratta, il processo non finisce qui, ma va fatta un’analisi continua della situazione.
Facciamo qualche esempio:
Hai assunto un nuovo dipendente che ha accesso ai dati dei tuoi clienti?
Devi nominare un nuovo Incaricato al Trattamento e inserirlo nei Registri.
Mettiamo caso che dopo qualche mese dalla redazione dei Registri Privacy, tu decida di acquistare un nuovo sistema di archiviazione dei tuoi dati digitali, ad esempio un NAS.
Ecco che il NAS dovrà essere inserito tra gli asset informatici all’interno del Registro.
Stessa cosa vale per Analisi dei Rischi e Misure di Sicurezza.
Infatti una volta valutati i Rischi connessi al trattamento dei dati personali della tua attività (con QUI Privacy ti basta compilare un questionario di 23 domande per fare questa valutazione), bisogna adottare le Misure di Sicurezza adeguate al Livello di Rischio.
Queste possono anche essere implementate un po’ alla volta, e indicate man mano che questo accade.
Capisci come dover fare tutto a mano, riscrivendo ogni volta tutti i documenti necessari, sia un lavoro lungo, faticoso, e sicuramente poco pratico.
Ecco spiegato il motivo per cui anche i consulenti Privacy richiedono un canone annuale ai loro clienti.
Utilizzando QUI Privacy il problema non c’è, infatti puoi modificare ogni singola voce tutte le volte che vuoi, e con un semplice click generare tutti i nuovi registri.
In più, in caso di cambiamenti normativi, il programma viene costantemente aggiornato direttamente da Buffetti.
Ecco spiegato il senso del canone annuale.
In ogni caso, ricorda sempre un concetto di base:
Se sei una azienda o un professionista, raccogli e tratta solo i dati strettamente necessari e fallo nel modo che ritieni più sicuro, perché la responsabilità sarà comunque tua.
Ottieni una Consulenza Gratuita
Se non sai da dove cominciare, NIENTE PANICO!
Manda un’email a info@toprimini.it e richiedi una Consulenza Telefonica di 15 minuti.
È GRATIS, e ti spiegheremo le nostre soluzioni per la tua situazione specifica.
Bene, credo che per questo articolo sia tutto!
Lo so, articolo lunghissimo, ma se hai dedicato del tempo per leggerlo tutto avrai notato quanti sono gli aspetti da tenere in considerazione.
Spero però che tu abbia ora le idee molto più chiare e che sappia come muoverti.
Se hai qualsiasi tipo di domanda non esitare a contattarci o a lasciare un commento qua sotto, saremo lieti di risponderti!
Grazie per essere arrivato fino alla fine.
A presto!
Aggiornamento 19 Maggio 2019: scade il periodo di tolleranza
Il 19 maggio 2019 termina il periodo “cuscinetto” previsto dal legislatore.
In questa fase infatti, il Garante avrebbe dovuto considerare, nell’applicare le sanzioni, che le nuove norme europee in materia di trattamento dei dati personali erano in una fase iniziale della loro operatività.
Dunque se sei tra coloro che hanno preso tempo per adeguarsi alle nuove disposizioni sul GDPR, devi essere consapevole che quel tempo è terminato.
È infatti opportuno intraprendere tempestivamente un percorso di adeguamento. Comincia con QUI Privacy!
Serena Saracini
Scrittrice del team, riempie pagine web di contenuti originali, creativi e interessanti.
Divoratrice di libri, articoli e blog, alla ricerca di informazioni sempre nuove.
Aiutaci ad aiutarti!
Scrivere articoli così lunghi e dettagliati richiede tempo e fatica...
Se ti è piaciuto questo articolo, non tenere queste informazioni solo per te e condividilo con i tuoi amici!
A te non costa nulla, può essere utile ad altri e per noi è fonte di grande soddisfazione!
Entra a far parte della nostra Community!
Clicca sulla foto sottostante, metti "mi piace" alla pagina "TOP Rimini - Affiliato Buffetti" e segui tutti i consigli che pubblichiamo per migliorare la tua produttività!
Potrebbero interessarti anche...
Vieni a trovarci!
Siamo a Rimini, in via Marecchiese 74, con ampio parcheggio, conquistato con le unghie e con i denti per agevolarti al meglio 🙂
Copyright @TOP Rimini | powered by Palmice S.r.l. | P. IVA: 03721480402
che differenza c’è con iubenda?
Ciao Sabrina,
iubenda nella versione base ti consente solo di redarre la privacy policy e cookie policy del tuo sito web (servizio che tra l’altro utilizziamo anche noi).
Per quanto riguarda la redazione del registro dei trattamenti aziendale però, su iubenda bisognerebbe attivare la versione da 29€ al mese, decisamente più costosa di QUI Privacy, in cui con 150€ l’anno hai compresa la generazione del registro dei trattamenti, le nomine a incaricato, responsabile del trattamento, analisi dei rischi, data breach e tanto altro (ti consiglio la visione di questo video se non l’hai già fatto per avere una panoramica completa del software: https://www.toprimini.it/qui-privacy/#demo-privacy).
Se hai altri dubbi siamo a disposizione, anche via email a info@toprimini.it
Buona Giornata e Buon Lavoro
Andrea Bianchi
TOP Rimini Staff
Immagino sia un refuso. NON 150€ al mese. Bensì 150€+IVA all’ANNO. Conferma?
Assolutamente Sonia, errore mio. Correggo subito! In ogni caso trovi tutte le informazioni su QUI Privacy a questo link.
Buona giornata
Andrea
Quante aziende possono essere gestite con questo programma?
Ciao Alessia! QUI Privacy nella versione da 150€/anno è Monoazienda, quindi gestisce una sola partita IVA. C’è però anche la possibilità di attivare versioni Multiazienda da 10 Aziende, 50 Aziende, 100 Aziende e anche Illimitato. Scrivici a info@toprimini.it se vuoi saperne di più!
Buona giornata,
Andrea