Per “GDPR” (“General Data Protection Regulation”) si intende il Regolamento Europeo n. 679/2016 in materia di protezione dei dati personali. La normativa è entrata pienamente in vigore in tutti i Paesi dell’Unione Europea il 25 maggio 2018.

Il GDPR ha introdotto importantissime novità per cittadini e imprese, con l’obiettivo dichiarato di elevare il livello di protezione dei dati, rafforzare la fiducia dei cittadini e sostenere la crescita dell’economia digitale.

Se sei un’azienda o uno studio professionale che tratta dati personali in Italia o in un altro Paese dell’Unione Europea, sei tenuto ad adeguarti al GDPR. Il GDPR si applica anche a imprese ed enti che hanno sede al di fuori dell’Unione Europea, ad esempio se vendono beni o forniscono servizi, anche via internet, all’interno dell’Unione Europea.

Ma che cos’è un dato personale? In pratica, un dato personale è qualunque informazione riconducibile ad un individuo. Ad esempio, sono dati personali il nome e cognome di una persona e tutti i suoi dati anagrafici, l’indirizzo e-mail, il numero di telefono, ma anche una fotografia, i suoi dati biometrici (es. l’impronta digitale o le caratteristiche della sua firma autografa), il suono della sua voce, le sue abitudini alimentari. Alcune categorie di dati (come quelli relativi ai dati genetici, allo stato di salute, all’orientamento sessuale o all’apparenza a partiti e sindacati) vengono ricondotti ad una particolare categoria di dati ritenuti “sensibili” e ricevono un livello di tutela superiore in base alla normativa.

Ai sensi del GDPR, dovrai adottare tutte le misure di protezione dei dati previste dalla normativa.  Ecco alcuni esempi di quello che dovrai fare per adeguarti al GDPR:

• informa in modo chiaro, semplice e in modo accessibile, comprensibile i tuoi clienti, dipendenti e gli altri interessati di come tratti i loro dati: dì loro chi sei quando richiedi dei dati, perché li stai trattando, per quanto tempo verranno conservati e a chi devono essere comunicati;
• chiedi in modo esplicito il consenso delle persone di cui raccogli i dati; in caso di minori, verifica il limite di età per chiedere il consenso dei genitori;
• assicurati di poter rispondere alle richieste degli interessati: il GDPR attribuisce a tutte le persone il diritto di sapere chi e perché tratta i loro dati, di modificarli, di cancellarli, di opporsi al marketing diretto e alla profilazione, oltre che il diritto di trasferire i propri dati ad un'altra azienda (i.e. portabilità);
• in caso di violazioni della sicurezza dei dati personali (i.e, data breach) particolarmente impattanti – ad esempio, in caso di divulgazione non autorizzata di dati a causa di un problema di sicurezza – potresti doverlo comunicare entro 72 ore all’Autorità di controllo e alle persone i cui dati sono stati coinvolti;
• nel caso in cui tu intenda affidare operazioni di trattamento a fornitori o altri soggetti esterni, dovrai assicurarti di ricorrere solamente a responsabili del trattamento che presentino sufficienti garanzie in merito alla conformità al Regolamento e alla tutela dei diritti degli interessati;
• potrebbe essere obbligatorio, seppur sempre raccomandabile, per la tua attività nominare un Responsabile della protezione dei dati (DPO) per assicurare una supervisione competente sulla gestione della privacy;
• per trattamenti che potrebbero comportare rischi elevati per i diritti e le libertà degli interessati, potrebbe essere necessario effettuare valutazioni di impatto sulla protezione dei dati (DPIA).

Il Regolamento prevede rilevanti sanzioni in caso di violazione, che comprendono multe fino a 20 milioni di Euro o – nel caso di imprese – fino al 4% del fatturato globale dell’esercizio precedente, se superiore.

La nuova normativa richiede di adottare una serie di misure per proteggere in modo adeguato i dati delle persone con cui la tua azienda o il tuo studio si trova ad operare, ad esempio i dati dei tuoi dipendenti e dei tuoi clienti.

La prima cosa da fare, quindi, è prendere consapevolezza:

• informati (ad esempio qui http://www.garanteprivacy.it/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali,  http://ec.europa.eu/justice/smedataprotect/index_it.htm e qui https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_it) e valuta quali tra gli aspetti introdotti dal Regolamento sono applicabili alla tua attività;
• attivati per capire quali dati tratta la tua azienda o il tuo studio, a chi appartengono, per quali finalità li utilizzi, a quali rischi sono esposti e a chi vengono comunicati;
• identifica il tuo ruolo rispetto ai dati personali (sei titolare del trattamento, responsabile del trattamento o contitolare?). Questo è fondamentale per sapere quali sono gli adempimenti specifici che ti competono;
• documenta i trattamenti di dati che hai individuato: il GDPR richiede di tenere (anche in formato elettronico) un Registro aggiornato dei dati personali che gestisci. Il Registro dei trattamenti potrebbe non essere necessario in alcuni casi specifici. Tuttavia, anche in questi casi è raccomandato dal Garante per la Protezione dei dati personali in quanto rappresenta uno strumento fondamentale non soltanto ai fini dell'eventuale supervisione da parte dell’Autorità di controllo, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti svolti ed è uno strumento indispensabile per ogni valutazione e analisi del rischio;
• redigi informative privacy semplici e trasparenti, che siano facilmente comprensibili dagli interessati.

Per tenere il Registro dei trattamenti e curare gli altri adempimenti richiesti al GDPR, potrai utilizzare le nostre innovative soluzioni software che ti possono supportare in modo facile e intuitivo nella gestione delle attività di compliance.

Per maggiori informazioni visita Privacy in Cloud

Per “trattamento” si intende qualunque tipo di operazione che viene svolta su dati personali. Ad esempio, raccogliere dei dati creando un archivio o una banca dati, creare copie dei dati, accedere ai dati in lettura o modifica, comunicare i dati a terzi e trasmetterli via internet o con altre modalità sono tutte operazioni di trattamento soggette al GDPR.

I trattamenti sono normalmente descritti– ad esempio ai fini della compilazione del Registro dei trattamenti – attraverso il riferimento a processi o banche dati aziendali.

Ecco alcuni esempi di banche dati e attività la cui gestione rappresenta tipicamente un’operazione di trattamento da parte di studi professionali e aziende:

• anagrafiche clienti;
• anagrafiche dipendenti;
• anagrafiche fornitori;
• videosorveglianza;
• campagne commerciali e di marketing;
• gestione di un sito web.

Laddove TeamSystem tratta i dati personali di cui il cliente è titolare, cosa che ad esempio può avvenire nella fornitura di un servizio cloud o nello svolgimento delle attività di assistenza, acquista il ruolo di “Responsabile del trattamento di dati” ai sensi dell’art. 28 GDPR e, in quanto tale, è tenuta ad assicurare che i dati personali del cliente siano trattati nel rispetto delle misure di sicurezza previste dal GDPR. Per regolare gli obblighi assunti da TeamSystem come Responsabile del trattamento, abbiamo predisposto uno specifico Accordo per la Protezione dei dati personali (Data Processing Agreement o “DPA”), che riflette accuratamente ed in modo puntuale le misure intraprese da TeamSystem per assicurare la conformità al GDPR in rapporto ai diversi servizi e prodotti erogati. Il DPA, così come le condizioni speciali di trattamento applicabili alle diverse categorie di prodotto, sono disponibili qui: www.TeamSystem.com/GDPR/DPA. 

In quanto “Responsabile del trattamento di dati” nei confronti dei dati che i clienti ci affidano, le Società del Gruppo TeamSystem adottano specifiche misure tecnico-organizzative al fine di evitare il trattamento illecito o non autorizzato, la distruzione accidentale o illecita, il danneggiamento, la perdita accidentale, l'alterazione e la divulgazione non autorizzata di dati personali. Le misure adottate sono descritte in modo puntuale nell’Accordo Principale per il Trattamento dei Dati Personali (MDPA) disponibile qui: https://www.teamsystem.com/dpa/.

L’accordo per il trattamento dei dati personali (Data Processing Agreement o “DPA”), disponibile alla pagina www.TeamSystem.com/GDPR/DPA, descrive le condizioni e le modalità di trattamento dei dati personali eseguito dalle società del Gruppo TeamSystem e le responsabilità connesse alle attività di trattamento, ivi incluso l'impegno assunto quale Responsabile del trattamento dei dati personali ai sensi dell'art. 28 GDPR. Le caratteristiche specifiche del trattamento dei dati personali con riguardo a ciascun prodotto e servizio sono descritte nei rispettivi “DPA - Condizioni speciali di trattamento”, disponibili al medesimo link. TeamSystem ha predisposto il DPA, integrando le proprie condizioni contrattuali, per conformarsi agli obblighi previsti dal Regolamento Europeo e per assicurare ai propri clienti un corretto trattamento dei loro dati.

Il GDRP (art. 28, comma 3) prevede che il trattamento dei dati personali da parte di un responsabile per conto di un titolare sia regolato da un contratto o un altro atto giuridico vincolante, che in cui siano definiti, tra l’altro:

• la natura e le finalità del trattamento;
• le misure di tecniche e organizzative adottate;
• i diritti e gli obblighi delle parti.

La definizione di un accordo contrattuale che regoli le attività svolte da TeamSystem come responsabile del trattamento costituisce, pertanto, adempimento di una prescrizione legale (art. 28 GDPR).  Per tale ragione, abbiamo integrato le nostre condizioni contrattuali e predisposto uno specifico “Accordo generale per la Protezione dei dati” (www.TeamSystem.com/GDPR/DPA) in modo da regolare in maniera puntuale i diritti e gli obblighi di TeamSystem e del cliente con riguardo alla protezione dei dati personali.

No. Per facilitare le negoziazioni con i nostri clienti garantendo uniformità e assicurando il più alto standard di conformità alla normativa in materia di protezione dei dati personali, tutti i nostri contratti rinviano ad un “Accordo generale per la Protezione dei dati” e a dei “DPA - Condizioni speciali di trattamento” integrativi e specifici per ciascun prodotto, disponibili alla pagina www.TeamSystem.com/GDPR/DPA. Teamsystem eroga i propri servizi ad un numero elevatissimo di clienti e proprio per garantire un effettivo governo degli impegni assunti, ha la necessità di definire in modo uniforme le responsabilità assunte con riguardo ai dati personali trattati.

Nelle operazioni di trattamento dei dati personali che TeamSystem esegue per conto dei propri clienti in qualità di “Responsabile del trattamento di dati personali”, TeamSystem adotta specifiche misure tecnico-organizzative al fine di evitare il trattamento illecito o non autorizzato, la distruzione accidentale o illecita, il danneggiamento, la perdita accidentale, l'alterazione e la divulgazione non autorizzata di dati personali.  Le misure adottate da TeamSystem sono descritte in modo puntuale nell’Accordo per la protezione dei dati personali o “DPA” (www.TeamSystem.com/GDPR/DPA). 

No. Dato l’elevato numero di clienti e la variabilità delle tipologie di richieste, non è possibile provvedere alla compilazione di ogni singolo questionario di assessment; per questo motivo, le informazioni sulla sicurezza, sull’infrastruttura e sulle procedure specifiche per ciascun prodotto sono reperibili nei “DPA - Condizioni speciali di trattamento” disponibili alla pagina www.TeamSystem.com/GDPR/DPA.

Quando TeamSystem agisce come titolare del trattamento potrebbe avere la necessità di trasferire i dati personali al di fuori dello Spazio Economico Europeo e in tal caso adotterà le misure necessarie a proteggere i dati personali a norma, in particolare, degli articoli 45 e 46 GDPR.

Quando TeamSystem agisce come responsabile del trattamento nella fornitura dei propri prodotti software -  Teamsystem si avvale unicamente di Data Center che sono localizzati nel territorio dell’UE. Tuttavia TeamSystem può avvalersi di fornitori o subfornitori internazionali o che appartengono a gruppi multinazionali e, pertanto, in via residuale, può configurarsi un’ipotesi di accesso a dati archiviati all'interno del territorio europeo da parte di tali fornitori, o altre ipotesi di trasferimento, per finalità di supporto tecnico e manutenzione.

Con riguardo a tali trasferimenti, il Fornitore garantisce di aver effettuato opportune valutazioni in conformità agli art. 45 e seguenti del GDPR.