Il Regolamento Europeo sul trattamento dei Dati Personali (GDPR 679/2016) diventa attuativo dal 25/05/2018 e diversi sono gli accorgimenti – a meno di 101 giorni da tale data – che le aziende devono introdurre per essere conformi . Per DATI PERSONALI il Regolamento definisce “qualsiasi informazione relativa a una persona fisica identificata o identificabile (” interessato “).”
In altre parole, qualsiasi informazione che riguarda chiaramente una determinata persona. In alcune circostanze, questo potrebbe includere qualsiasi cosa, dal nome di qualcuno al loro aspetto fisico.
I dati personali sensibili sono un insieme specifico di “categorie speciali” che devono essere trattati con maggiore sicurezza. Queste categorie sono:
◾ origine razziale o etnica;
◾ Opinioni politiche;Credenze religiose o filosofiche;
◾ adesione al sindacato;
◾ dati genetici; e
◾ Dati biometrici ( elaborati per identificare univocamente qualcuno).
I dati personali sensibili devono essere conservati separatamente dagli altri dati personali, preferibilmente in un cassetto chiuso o in uno schedario protetto. Come con i dati personali in generale, dovrebbe essere conservato su computer o dispositivi portatili se il dato è stato crittografato e / o pseudonimizzato.
La pseudonimizzazione maschera i dati sostituendo le informazioni identificative con identificatori artificiali. Sebbene sia fondamentale per proteggere i dati – menzionati 15 volte nel GDPR – e possa aiutare a proteggere la privacy e la sicurezza dei dati personali, la pseudonimizzazione ha i suoi limiti, ecco perché il GDPR menziona anche la crittografia.
La crittografia oscura anche le informazioni sostituendo gli identificatori con qualcos’altro. Ma mentre la pseudonimizzazione consente a chiunque abbia accesso ai dati di visualizzare parte del set di dati, la crittografia consente solo agli utenti autorizzati di accedere all’intero set di dati.
Pseudonimizzazione e crittografia possono essere usati contemporaneamente o separatamente.
Ottenere il consenso
Un malinteso comune sul GDPR è che tutte le aziende devono richiedere il consenso per elaborare i dati personali. In effetti, il consenso è solo uno dei sei motivi legittimi per il trattamento dei dati personali, e le rigide regole riguardanti le richieste di consenso legale rendono generalmente l’opzione meno preferibile.
Tuttavia, ci saranno momenti in cui il consenso è la base più adeguata e le organizzazioni devono essere consapevoli del fatto che hanno bisogno del consenso esplicito per elaborare dati personali sensibili.
Puntualizzazioni come queste sono comuni in tutto il GDPR e qualsiasi organizzazione che non abbia avuto il tempo di studiare a fondo i suoi requisiti di conformità è suscettibile di consenguenze negative. Ciò potrebbe portare a danni durevoli, dall’azione di controllo e sanzioni pecuniarie alla stampa negativa e alla perdita di clienti. Per conoscere come comformarsi al GDPR, quali strumenti di prevenzione e protezione adottare per mettere in atto misure tecniche ed organizzative per garantire un livello di sicurezza adeguato” ( art. 32 GDPR) , la GOLINUCCI srl e’ a disposizione per fornire consulenza e formazione ( tel. 0547 22351 dpo@golinucci.it) https://www.golinucci.it/proteggiamo-assicuriamo-i-dati-dei-vostri-clienti
Source : Luke Irwin –ITG uk