Governance dei dati per la conformità al GDPR
Il 25 maggio 2018 troverà piena applicazione il nuovo Regolamento Europeo sulla protezione dei dati personali (GDPR), che introduce importanti novità in materia.
Che cos’è il GDPR?
Per “GDPR” (“General Data Protection Regulation”) si intende il nuovo Regolamento Europeo n. 679/2016 in materia di protezione dei dati personali. La nuova normativa entrerà pienamente in vigore in tutti i Paesi dell’Unione Europea il prossimo 25 maggio 2018.
Sono importantissime le novità introdotte dal GDPR per cittadini e imprese, con l’obiettivo dichiarato di elevare il livello di protezione dei dati, rafforzare la fiducia dei cittadini e sostenere la crescita dell’economia digitale.
Il GDPR ribalta completamente la prospettiva della disciplina di riferimento, istituendo un quadro normativo tutto dedicato ai doveri e alla responsabilizzazione del Titolare del trattamento (principio di “accountability”).
Data l’ampiezza del perimetro di impatto del GDPR a livello aziendale è necessario un approccio strutturato e comprensivo di tutte le leve su cui si può agire in relazione all’obiettivo di adeguamento:
- Organizzazione e ruoli
- Persone, cultura e competenze
- Processi e regole
- Documentazione
Da non tralasciare l’importanza che si dà agli strumenti ed alla tecnologia. Un punto importante in un piano di adeguamento al GDPR e che è strettamente correlato all’ambito di misure di sicurezza informatica (antivirus, disaster recovery, firewall, pseudonimizzazione dati, cifratura dati, prevenzione e rilevazione data breach, Identity Management, ecc.), ma anche di sicurezza fisica (es. controllo accessi), di adozione di tool IT GRC (Governance, Risk & Compliance).
Il GDPR si applica al mio centro sportivo?
SI! Qualsiasi azienda, quindi anche le società sportive dilettantistiche (S.S.D.), o associazione sportiva che tratta dati personali in Italia o in un altro Paese dell’Unione Europea, è tenuta ad adeguarsi al GDPR.
Il GDPR si applica anche a imprese ed enti che hanno sede al di fuori dell’Unione Europea, ad esempio se vendono beni o servizi, anche via internet, all’interno dell’Unione Europea.
Che cos’è un dato personale?
Un dato personale è qualunque informazione riconducibile ad un individuo. Ad esempio, sono dati personali il nome e cognome di una persona e tutti i suoi dati anagrafici, l’indirizzo e-mail, il numero di telefono, ma anche una fotografia, i suoi dati biometrici (es. l’impronta digitale o le caratteristiche della sua firma autografa), il suono della sua voce, le sue abitudini alimentari. Alcune categorie di dati (come quelli relativi ai dati genetici, allo stato di salute, all’orientamento sessuale o all’apparenza a partiti e sindacati) sono considerati sensibili e richiedono misure aggiuntive di protezione in base alla normativa.
Quali sono le mie responsabilità e cosa rischio?
I costi della violazione delle norme possono essere elevati, si può arrivare a sanzioni fino a 20 milioni di euro oppure il 4% del fatturato annuo precedente, se superiore.
Le autorità locali per la protezione dei dati controllano la conformità. Il lavoro è svolto a livello dell’Unione europea.
Cosa devo fare per adeguarmi al GDPR con il mio centro sportivo?
Ecco alcuni esempi di quello che dovrai fare per adeguarti al GDPR:
- informa in modo chiaro, semplice e non “legalese” i tuoi clienti, dipendenti e gli altri interessati di come tratti i loro dati: dì loro chi sei quando richiedi dei dati, perché li stai trattando, per quanto tempo verranno conservati e a chi devono essere comunicati;
- chiedi in modo esplicito il consenso delle persone di cui raccogli i dati; in caso di minori, verifica il limite di età per chiedere il consenso dei genitori;
- assicurati di poter rispondere alle richieste degli interessati: il GDPR attribuisce a tutte le persone il diritto di sapere chi e perché tratta i loro dati, di modificarli, di cancellarli, di opporsi al marketing diretto e alla profilazione, oltre che il diritto di trasferire i propri dati ad un’altra azienda (i.e. portabilità);
- in caso di violazioni di dati o data breach – ad esempio, in caso di divulgazione non autorizzata di dati a causa di un problema di sicurezza – dovrai darne comunicazione entro 72 ore all’Autorità di controllo;
- nel caso in cui tu intenda affidare operazioni di trattamento a fornitori o altri soggetti esterni, dovrai assicurarti di ricorrere solamente a responsabili del trattamento che presentino sufficienti garanzie in merito alla conformità al Regolamento e alla tutela dei diritti degli interessati
Da dove devo iniziare per adeguarmi?
La nuova normativa richiede di adottare una serie di misure per proteggere in modo adeguato i dati delle persone con cui la tua società o associazione sportiva si trova ad operare, ad esempio i dati dei tuoi dipendenti e dei tuoi clienti.
La prima cosa da fare, quindi, è prendere consapevolezza:
- Informati (ad esempio qui //www.garanteprivacy.it/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali , //ec.europa.eu/justice/smedataprotect/index_it.htm e qui //ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_it ) e valuta quali tra le novità introdotte dal nuovo Regolamento sono applicabili alla tua attività.
- attivati per capire quali dati tratti, a chi appartengono, per quali finalità li utilizzi, a quali rischi sono esposti e a chi vengono comunicati.
- distingui i dati che utilizzi per il servizio che offri (es. l’abbonamento mensile in palestra) da quelli che tieni per attività promozionali e di marketing.
- accertati che il tuo frequentatore accetti in chiaro ed in modo semplice le condizioni dove riporti le aziende ed enti terzi a cui fornirai i suoi dati. Ad esempio gli enti di promozione sportiva e le federazioni sportive per i tesseramenti.
- assicurati che gli applicativi che utilizzi, ad esempio i software gestionali, di controllo accessi, di CRM e marketing, soddisfino i requisiti di compliance previsti dal GDPR, secondo le logiche della privacy by design e privacy by default richieste dal GDPR.
- verifica anche eventuali integrazioni tra i software che utilizzi quotidianamente.
- documenta i trattamenti di dati che hai individuato: il GDPR richiede di tenere (anche in formato elettronico) un Registro aggiornato dei dati personali che gestisci. Il Registro dei trattamenti potrebbe non essere necessario in alcuni casi specifici. Tuttavia, anche in questi casi è raccomandato dal Garante per la Protezione dei dati personali in quanto rappresenta uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte dell’Autorità di controllo, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti svolti ed è uno strumento indispensabile per ogni valutazione e analisi del rischio.
Cosa si intende per “trattamento” di dati personali? Quali trattamenti esegue tipicamente una società o associazione sportiva?
Per “trattamento” si intende qualunque tipo di operazione che viene svolta su dati personali. Ad esempio, raccogliere dei dati creando un archivio o una banca dati, creare copie dei dati, accedere ai dati in lettura o modifica, comunicare i dati a terzi e trasmetterli via internet o con altre modalità sono tutte operazioni di trattamento soggette al GDPR.
I trattamenti sono normalmente descritti– ad esempio ai fini della compilazione del Registro dei trattamenti – attraverso il riferimento a processi o banche dati aziendali.
Ecco alcuni esempi di banche dati e attività la cui gestione rappresenta tipicamente un’operazione di trattamento da parte associazioni e società sportive:
- anagrafiche clienti
- anagrafiche dipendenti
- anagrafiche fornitori
- videosorveglianza
- campagne commerciali e di marketing
- gestione di un sito web
Che cosa sta facendo TeamSystem per il GDPR?
TeamSystem ha avviato da tempo un progetto di adeguamento al GDPR con un team di professionisti legali ed esperti per migliorare le caratteristiche di sicurezza dei propri prodotti e servizi ed elevare il livello di protezione dei dati personali.
- Stiamo aggiornando i nostri applicativi allo scopo di introdurre funzionalità specifiche per aiutare i clienti a soddisfare i requisiti di compliance previsti dal GDPR, secondo le logiche della privacy by design e privacy by default richieste dal GDPR
- Stiamo rafforzando le misure di sicurezza nei servizi erogati ai clienti allo scopo di ridurre i rischi di trattamenti non conformi, introducendo il principio della protezione dei dati personali sin dalle fasi di sviluppo e progettazione degli applicativi
- Distribuiremo gli aggiornamenti delle soluzioni InforYou e FlipTonic insieme ad un insieme di soluzioni per semplificare le configurazioni e comunicazioni verso i dipendenti e clienti in norma per il GDPR
- Abbiamo sviluppato una soluzione gestionale, all’interno della piattaforma cloud Agyo, per consentire ai titolari delle aziende di raggiungere in modo efficace gli obiettivi di compliance nascenti dal GDPR, assicurando un corretto governo degli adempimenti e un costante monitoraggio delle attività di trattamento dei dati.
Faremo insieme ai nostri clienti il percorso per arrivare pronti alla data del 25 maggio 2018 con informative e webinar online.
Scopri subito le date ed iscriviti gratuitamente, clicca qui
Inoltre il 31 maggio a RiminiWellness terremo un evento specifico sul GDPR per il WELLNESS.
Tieni presente che le informazioni in questo sito web non forniscono indicazioni legali ma solamente informative e non sostituiscono la consulenza di un avvocato. Ti invitiamo, quindi, a rivolgerti a un consulente specializzato per approfondire i rischi a cui sei esposto e far fronte in modo corretto agli obblighi derivanti dal GDPR
Per avere maggiori informazioni ed anticipazioni delle novità delle nostre soluzioni, sui webinar e sull’evento del 31 maggio a RiminiWellness compila il form di seguito.