Informazioni su Nuovo Regolamento generale sulla protezione dei dati (GDPR)

Il Nuovo Regolamento generale sulla protezione dei dati (GDPR) sarà applicato, in tutti i Paesi UE, a decorrere dal 25 maggio 2018. Integrerà la direttiva CE 95/46. L’obiettivo del GDPR sarà quello di regolamentare la gestione dei dati personali da parte delle aziende.

Il nuovo GDPR regola la tenuta dei dati personali delle ‘persone fisiche’, si ritiene perciò esclusa, per quanto ci riguarda, la tenuta di dati anagrafici relativi ad ‘aziende’ o soggetti giuridici ad eccezione dei dati raccolti dalle applicazioni retail accessorie ai nostri prodotti gestionali (**)

Dati personali

Sono definiti dati personali le informazioni che identificano o rendono identificabile una persona fisica:

  • identificativi: permettono l’identificazione diretta. Si possono così identificare i dati anagrafici, le immagini, ecc.;
  • sensibili: possono rivelare l’origine razziale ed etnica. Questi dati mostrano le convinzioni religiose, filosofiche o di altro genere. Le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale. Lo stato di salute e la vita sessuale;
  • giudiziari: possono rivelare l’esistenza di provvedimenti giudiziari, soggetti ad iscrizione nel casellario giudiziale o la qualità di imputato o di indagato.

Fonte: garanteprivacy.it

Le aziende dovranno quindi valutare la natura della attività di trattamento contestualmente ai rischi che tali attività comportano per i diritti degli utenti. tutto ciò significa che gli obblighi devono essere proporzionati al rischio.

Registro cartaceo o elettronico delle operazioni di raccolta dati personali

Secondo il Regolamento Europeo privacy GDPR, Titolari e Responsabili del Trattamento, hanno l’obbligo di compilare in forma scritta ed elettronica il Registro delle attività di trattamento, svolte dall’organizzazione.

Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (si veda art. 30, paragrafo 5), devono quindi tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all’art. 30. Il registro deve essere esibito su richiesta al Garante. In seguito un’immagine esplicativa sull’obbligatorietà della tenuta del Registro.

La nuova normativa impone ai Titolari del trattamento, ai sensi degli artt. 33 e 34 , l’obbligo di notificare all’autorità Nazionale di vigilanza le violazioni alla sicurezza che comportino:

  • la distruzione;
  • la perdita;
  • la modifica;
  • la divulgazione non autorizzata;
  • l’accesso ai dati personali.

Dove tale violazione presenti un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento è tenuto a informare sia l’autorità di controllo sia l’interessato (a cui i dati si riferiscono) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza.

Tale normativa consiglia di attuare tutte le precauzioni necessarie ad impedire l’accesso ai propri sistemi ad attacchi esterni (sistemi operativi non obsoleti, aggiornamenti frequenti dei sistemi operativi, anti-virus aggiornati, firewall, vbp, etc).

(**) Dati Personali contenuti nelle applicazioni retail.

La nuova normativa prevede che i dati personali raccolti prima della data del 25/5/2018 possono essere conservati e gestiti solo se in linea con il nuovo GDPR; esso prevede che, al di là della tenuta di un registro, al momento non obbligatorio per la tipologia di aziende nostre clienti, sia conservato e catalogato il documento di consenso al trattamento dei dati personali, qualsiasi essi siano.

I nominativi di persone fisiche presenti nello store e nella sede centrale, con i relativi dati di identificazione (nr. telefono, e-mail) e di profilazione (prodotti acquistati, valore acquisti, etc) dovranno quindi essere associati univocamente ad un documento sottoscritto dall’interessato ed archiviato in formato cartaceo o elettronico.

Al momento, data l’esiguità dei casi, non sono previsti rilasci di procedure informatiche accessorie per l’associazione persona – documenti.