GDPR: SOLUZIONI PRATICHE per Aziende e Professionisti

da | Apr 13, 2018

Benvenuto! Sei davanti alla Guida più Completa, Semplice ed Esaustiva sul GDPR che puoi trovare sul Web se sei un Professionista o una Piccola/Media Impresa.

Se hai tempo ti consiglio di leggerlo tutto, mentre se vai di fretta puoi cliccare su uno dei pulsanti qua sotto e passare direttamente alle Soluzioni Buffetti, oppure leggere gli ultimi Aggiornamenti (19 Settembre 2018).

La GDPR è ufficialmente in vigore dal 25 Maggio 2018, e i modi in cui le piccole e medie imprese stanno reagendo sono essenzialmente due:

  • CATEGORIA 1: Panico totale.
    Ricerche e ricerche a destra e sinistra per tentare di capirci qualcosa.
    “Questa normativa è l’ennesimo modo di mettere i bastoni tra le ruote a noi poveri commercianti.”
  • CATEGORIA 2: Noncuranza totale.
    “Massì, tanto ti pare che vengono a multare proprio me…”.

Agli imprenditori della Categoria 1 voglio dire sicuramente questo: NIENTE PANICO.

Prenditi un po’ di tempo per leggere questo articolo fino in fondo.
Troverai tutte le informazioni che cerchi e i passi da seguire per poter essere a norma di legge al 100%.

A tutti quelli della Categoria 2 invece…
…ah già, probabilmente staranno facendo gli “gnorri” e difficilmente staranno leggendo questo articolo 🙂

Ma se per caso qualcuno di questi abbia avuto voglia di dare una sbirciatina “per sicurezza”, voglio dirgli due parole lo stesso.

PUNTO 1. La GDPR non è uno scherzo.

Si tratta di una Direttiva Europea, e volenti o nolenti, dobbiamo adeguarci e metterci in regola.

Tra l’altro lo “scandalo” di facebook – Cambridge analytica ha fatto “esplodere” la popolarità dell’aragomento ancora di più…Sarà un caso? 🙂).

PUNTO 2. Ci sono dei Vantaggi per chi si adegua

Anche se apparentemente non sembra, adeguarsi al Regolamento ci porta in una situazione di “WIN-WIN”, cioè dove “vinciamo tutti”.

👉🏼 “Vincono” le persone fisiche, grazie alla maggiore protezione riservata ai loro dati personali, che saranno meno a rischio di essere violati o ceduti a terzi.

👉🏼 Vincono le aziende, che si ritrovano con i dati archiviati e conservati correttamente e con minore rischio di furto grazie alla prevenzione.

Infatti…Hai mai pensato all’importanza dei dati della TUA attività?

Ti sei mai soffermato a pensare a quanto ti costerebbe perdere dati importanti per la tua azienda, come i dati gestionali o i dati dei tuoi clienti fidelizzati (al di là delle sanzioni)?

Diciamo che con il GDPR avrai quella spinta per adottare tutte le procedure adeguate per tenere al sicuro e soprattutto non perdere questi dati, quindi considerala un’opportunità di miglioramento del tuo Business.

PUNTO 3. Anziché ragionare in termini di “Quanto mi costerà adeguarmi”…hai pensato a quanto ti costerà non farlo?

Come saprai già, le sanzioni per la violazione di dati personali sono salatissime:

  • Fino a 20 Milioni di €uro
  • Fino al 4% del fatturato annuo dell’azienda

Ma ripetiamo ancora una volta questo concetto.

Hai considerato il danno economico conseguente alla perdita di dati importanti per la tua azienda, oltre alle sanzioni?

Quindi il mio consiglio è questo:

Parti con il considerare non soltanto l’adeguamento alla norma, che è obbligatorio, ma anche i vantaggi che questo comporterà per la tua azienda, in termini di maggiore attenzione e migliore conservazione dei dati importanti per il tuo Business.

Vorrei proprio che ti addentrassi in questo articolo con questa Consapevolezza.

Stai cercando di adeguarti al Regolamento UE in tempo, ma allo stesso tempo stai migliorando, modernizzando e facendo crescere la tua attività.

Perfetto! Prima di iniziare voglio fare due semplici precisazioni:

1. Questo articolo è pensato apposta per PMI e Freelance. 

Ho infatti tralasciato tutti gli aspetti che non interessano queste realtà, sia dal punto di vista teorico che pratico, per evitare di appesantire troppo la lettura.

2. L’articolo è davvero lunghissssssimo!

È diviso in 3 macro aree principali:

AREA 1: TEORIA
Fondamentale per comprendere tutti gli aspetti del Regolamento UE 2016/679 che interessano PMI e Freelance.

Leggi attentamente questa parte, perché se non comprendi bene i concetti chiave non potrai adeguarti alla Normativa nella maniera corretta.

Ho cercato di renderla il più chiara e semplice possibile, quindi non preoccuparti!

AREA 2: PRATICA 
Vedremo nella pratica quali step compiere in base al tipo di dati personali che tratti.

AREA 3: SOLUZIONI
Una volta compreso cosa devi fare, ti presenterò gli strumenti per farlo nella maniera più semplice, rapida e sicura possibile. Il tutto ad un prezzo assolutamente accessibile a tutti!

AREA 1: LA TEORIA

Cos’è il GDPR

GDPR è l’acronimo di General Data Protection Regulation, ed è la sigla per indicare il nuovo Regolamento UE 2016/679.

Il Regolamento determina le linee guida da adottare per quanto riguarda il trattamento e la libera circolazione dei dati in modo da garantire la protezione delle persone fisiche.

I 6 Principi Cardine della Protezione dei Dati

Possiamo riassumere il Regolamento in questi 6 principi, che rappresentano la base di una strategia aziendale per la protezione dei dati personali.

I dati devono essere:

1. Trattati legalmente, onestamente e in modo trasparente;

2. Raccolti per scopi specifici, espliciti e legittimi e non essere di conseguenza trattati in un modo che vada contro tali scopi;

3. Adeguati, pertinenti e limitati allo stretto necessario;

4. Accurati e aggiornati – si devono analizzare, eliminare o correggere potenziali imprecisioni quanto prima;

5. Non essere conservati più a lungo del necessario;

6. Trattati in modo sicuro. 

I 5 Protagonisti del GDPR

Se non hai ancora compreso la differenza tra queste figure LEGGI ATTENTAMENTE perché è fondamentale!

  • Soggetto interessato = qualsiasi persona fisica identificata o identificabile (nel senso che non necessariamente un dato personale è un nome e un cognome, può essere anche una fotografia, e qui siamo nell’identificabile)
  • Titolare del trattamento = la persona fisica (o giuridica) che determina la finalità e i mezzi del trattamento dei dati personali.
    Si tratta della persona su cui ricadono obblighi e responsabilità sulla raccolta e trattamento dei dati personali.
  • Responsabile del trattamento = può essere una persona fisica o giuridica che è stata incaricata o contrattualizzata dal titolare a lavorare sui dati personali di clienti, ordini, dipendenti, ecc…
  • Incaricato al trattamento = la persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal responsabile. In sostanza, tutti i dipendenti che hanno accesso ai dati personali sono incaricati al trattamento dei dati (potremmo escludere ad esempio un dipendente che si occupa di attività di magazzino e non ha accesso ai dati).
  • Responsabile della Protezione dei Dati (RPD) o Data Protection Officer (DPO) → La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali all’interno di un’azienda e far sì che questi siano trattati nel rispetto delle normative privacy europee e nazionali. Il DPO è obbligatorio per tutti gli enti pubblici e per le aziende private che trattano dati sensibili, trattamento dati su larga scala, o comandati da una Pubblica Autorità.
    Tutti gli altri casi non sono ancora stati regolamentati in maniera chiara.
  • Autorità preposte ai Controlli = Garante per la Privacy italiano.
    Può esserlo un qualsiasi soggetto autorizzato (es. Polizia, Guardia di Finanza), o anche altre organizzazioni degli stati membri dell’UE.

N.B. Il Titolare del Trattamento può essere anche il Responsabile, ma in alcuni casi specifici le due figure possono essere distinte e il Titolare può nominare un Responsabile, oppure essere Responsabile del Trattamento Dati di un altro Titolare.

La principale differenza è che il Responsabile NON ha potere decisionale sulla definizione di finalità del trattamento, misure di sicurezza e tutto il resto, compiti che spettano al Titolare del Trattamento.

Facciamo un esempio.
Prendiamo il caso di un’azienda X che fa assistenza software a un cliente Y in maniera continuativa.

In questo caso nel Registro dei Trattamenti dovrà essere presente la nomina di Responsabile del Trattamento (l’azienda X) nei confronti dei dati del Titolare del Trattamento (il cliente Y).

Il Responsabile NON ha la facoltà di modificare finalità e modalità di trattamento.

Come puoi vedere si tratta di un caso molto comune, e andando avanti nella lettura vedrai come tutto questo procedimento debba essere tracciato.

Cosa significa “Privacy By Design”?

Questo nuovo concetto prevede che tutti i Titolari del Trattamento Dati sono obbligate a procedere PRIMA di effettuare il trattamento, verificando che il trattamento sia “aderente” al regolamento europeo.

“Aderente” significa che tale trattamento deve avere un rischio residuo basso.

Questo è il concetto: PRIMA di fare un trattamento dobbiamo verificare che il rischio sia basso.

Dobbiamo disegnare i trattamenti, applicare le misure di sicurezza, i comportamenti virtuosi affinché i trattamenti abbiano un rischio residuale basso.

Un esempio di Privacy by Design?
Questo concetto va applicato ad esempio tutte le volte che forniamo i dati dei nostri dipendenti a uno studio paghe.

Passiamo ora al chiarire cosa si intende per “dati personali” e come si differenziano.

Tipologie di Dati Coinvolti

Il Regolamento fa distinzione tra le varie tipologie di dati personali.

In generale si definiscono dati personali le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..

Particolarmente importanti sono:

  • dati identificativi: quelli che permettono l’identificazione diretta, come i dati anagrafici (ad esempio: nome e cognome), fotografie, ecc.;
  • dati sensibili: quelli che possono rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale.
  • dati giudiziari: quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato.

A questi si aggiungono altre due tipologie di dati, che riguardano l’evoluzione della tecnologia, in particolare:

  • Dati relativi alle comunicazioni elettroniche (via Internet o telefono)
  • Dati che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti.

Perfetto, ti è chiaro fin qui?

Andiamo avanti.

Quali sono le Novità del GDPR e cosa cambia rispetto alla Legge Privacy Dlgs 196/2003?

Come ti ho già spiegato sopra, tratteremo solo i cambiamenti più importanti e significativi per PMI e Freelance.

PRINCIPIO DI RESPONSABILITA’ (ACCOUNTABILITY)

La tanto discussa “Accountability”, o principio di responsabilità è la vera Rivoluzione del GDPR.

Lasciando stare paroloni, questo vuol dire che il Titolare del Trattamento dei Dati deve essere in grado di dimostrare che i dati sono conservati in maniera conforme al GDPR, sia in caso di ispezione che (soprattutto) in caso di violazione dei dati.

Come facciamo a dimostrare questo?

Chiaramente non basta dirlo a parole, ma ci vogliono “le prove”.

Per dimostrarlo bisogna produrre una documentazione che dimostri che è stato fatto tutto il possibile per ridurre il rischio di violazione dei dati.

IMPORTANTE: non esistono misure minime, ma si parla di “misure adeguate”. Quindi significa che bisogna adeguarsi a TUTTE le regole, e non solo ad alcune (come si fa normalmente all’italiana).

Oddio, e come faccio a produrre tutta la documentazione? 😱

Se vai avanti nella lettura, ti spiego passo passo cosa fare, un po’ di pazienza 🙂

Tieni semplicemente a mente che tutti i punti del Regolamento si rifanno sempre a questo principio di Responsabilità → Ergo, per ciascun punto c’è bisogno di Documentazione che attesti che è stato svolto tutto correttamente!

IL REGISTRO DEL TRATTAMENTO

Qui andiamo a sfatare subito una falsa convinzione per chi pensa di non dover tenere il registro perché “ha meno di 250 dipendenti”.

Leggiamo bene la normativa!!!

ATTENZIONE! Il Regolamento è obbligatorio per aziende con più di 250 dipendenti e per tutte le aziende che trattano dati in maniera continuativa.

Cosa significa?

Significa che se nel database del tuo gestionale hai i dati dei tuoi clienti abituali, se hai Fidelity Card, ma anche semplicemente se hai dei dipendenti (e quindi per forza di cose hai i loro dati), DEVI tenere un Registro del Trattamento.

Capisci quindi come questo si applichi alla stragrande maggioranza dei casi, escluse piccole attività che NON hanno dipendenti, emettono solamente scontrini NON parlanti e che NON hanno programmi di Fidelity Card, o che prendono i dati per prestazioni occasionali e non li conservano.

Cosa deve contenere il Registro del Trattamento del Titolare?

Bisogna inserire tutti i trattamenti riguardanti i dati personali delle diverse categorie.

Vediamo alcuni esempi comuni:

  • trattamento dei dati personali dei dipendenti.
  • trattamento dati dei clienti a fini di marketing
  • trattamenti indispensabili per la stipulazione di un contratto con il cliente
  • videosorveglianza
  • ecc…

Per ognuno di questi trattamenti dovremo definire e “censire” gli Assets, cioé tutti gli strumenti con cui realizziamo il trattamento dei dati, come:

  • Strumenti Fisici (PC, notebook, videocamere, ecc..)
  • Strumenti Informatici (Database, Reti di comunicazione, Servizi in Cloud, Servizi web, ecc…)

Per ognuno di questi trattamenti dovremo definire inoltre:

  • Le finalità del trattamento
  • La descrizione delle categorie di interessati e delle categorie di dati personali
  • Termini ultimi previsti per la cancellazione delle diverse categorie di dati 
  • Descrizione generale delle misure di sicurezza tecniche e organizzative.

E nel caso del Responsabile del Trattamento?

Anche in questo caso si avrà un Registro in cui si tiene nota di:

  • Dati del Responsabile del Trattamento
  • Categorie dei trattamenti effettuati per conto dei vari Titolari di Trattamento
  • Descrizione generale delle misure di sicurezza tecniche e organizzative.

Ovviamente in questo caso non teniamo nota delle finalità perché sappiamo bene che è compito del Titolare definirle.

Come vedi questo processo può risultare davvero lungo ed estenuante se fatto completamente a mano.

In fondo all’articolo però troverai una soluzione pratica ed economica per risparmiare ore e ore di lavoro e soprattutto per evitare errori!

Per ora andiamo avanti a comprendere il Regolamento. So che è un po’ noioso ma davvero fai lo sforzo di cercare di capire questi concetti, e alla fine sarà tutto in discesa!

FORMAZIONE: Un Dovere Responsabile

Come si fa ad essere responsabili del trattamento dati personali, se non si è adeguatamente formati al riguardo?

Ecco perché all’interno del principio di Accountability rientra la capacità del Titolare di dimostrare di aver compiuto ed attuato le necessarie (e diversificate) procedure di informazione per tutti coloro (Titolari, Dipendenti, Collaboratori anche occasionali) che a vario titolo fossero chiamate a trattare Dati Personali, con mezzi propri e senza richieste a titolo oneroso agli interessati.

Come facciamo a dimostrare questo?

Bisogna produrre e conservare tutta la documentazione che dimostri l’avvenuta formazione, con un Corso Nominativo che rilasci un Attestato finale.

Non sottovalutare assolutamente l’obbligo formativo: infatti in caso di mancata formazione scatta la sanzione amministrativa pecuniaria fino a 10 milioni di euro o fino al 2% del fatturato annuo!

Inoltre l’Autorità Garante Privacy e la Guardia di Finanza possono effettuare accertamenti ispettivi riguardo proprio all’adempimento degli obblighi formativi.

Dove li trovo questi corsi?

Leggi fino in fondo 🙂

Passiamo ora ad un’altra fondamentale novità della GDPR.

VALUTARE i RISCHI – Risk Assessment

Qui la situazione si fa molto astratta.

Si parla di Valutare il rischio che si ha nel trattare determinati dati personali, nel caso in cui vengano violati secondo una scala (basso, medio, alto).

In ogni caso la valutazione dei rischi va fatta per definire successivamente quali saranno le MISURE DI SICUREZZA OBBLIGATORIE per adeguare le attuali procedure di trattamento e renderle conformi entro la data di applicazione del 25 Maggio 2018.

Anche per questo punto possiamo evitare di andare nel panico, perché la SOLUZIONE che troverai in fondo alla pagina lo risolve in una maniera semplicissima.

Avanti col prossimo punto!

OBBLIGO di NOTIFICA – Data Breach Notification

Si tratta dell’obbligo di denunciare al Garante per la Privacy un’eventuale Violazione dei Dati entro 72 ore dalla scoperta.

N.B.: Per “violazione dei dati personali” si intende qualsiasi violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

E come detto prima, oltre a denunciare si dovrà essere in grado di dimostrare che si è fatto tutto il possibile per limitare al minimo i danni.

Queste due procedure servono a limitare il più possibile le sanzioni, che in caso contrario saranno salatissime come ben sai!

Inoltre se la violazione dei dati comporta un rischio elevato per la libertà delle persone interessate, bisognerà provvedere ad avvisare anche gli interessati di tale violazione.

CONSENSO AL TRATTAMENTO DATI

Per dare il consenso al trattamento dati si richiede un processo attivo che deve essere DIMOSTRABILE (strano, eh?).

Un esempio potrebbe essere la classica compilazione di una apposita casella (che non dev’essere pre-compilata).

Una novità è che può costituire trattamento illecito dei dati il consenso unico per una pluralità di finalità incompatibili, compreso il marketing e promozione di beni o servizi oppure comunicazioni indesiderate in violazione dell’art. 130 C.d.P.

Tradotto significa che se prima bastava una casella per dire “Acconsento al trattamento dei dati”, e il Titolare poteva farci ciò che era scritto sulla sua Privacy Policy, dal 25 maggio NON sarà più possibile.

Infatti bisognerà avere più caselle selezionabili, separando l’iniziativa di marketing e promozione di beni o servizi dalle altre.

DIRITTO ALL’OBLIO

Conferisce ai soggetti il diritto alla cancellazione immediata dei loro dati personali.

Ci sono anche altre cose da considerare, ma diciamo che queste sono quelle fondamentali e che interessano praticamente la totalità delle Piccole e Medie Imprese e i Freelance che lavorano sui progetti di queste ultime.

Se vuoi leggere il regolamento completo puoi scaricarlo da qua.

Queste notizie le puoi trovare su altre mille fonti, ma era doveroso spiegarle anche qui.

Ora passiamo alla parte interessante.

Come diavolo dobbiamo muoverci?

Quali passi dobbiamo fare per essere a norma entro il 25 Maggio alle porte?

Lo vediamo nell’Area 2: Pratica 💪🏼

AREA 2: LA PRATICA

La prima grande distinzione va fatta a seconda se tratti dati solo in formato cartaceo, solo in formato elettronico, o entrambi.

Se non tratti dati in formato cartaceo passa direttamente allo step successivo.

Gestisci dati personali in Formato Cartaceo o su altri Supporti Fisici?

Sto parlando di fatture, scontrini parlanti, ma non solo

Ad esempio, hai pensato al fatto che le fotografie siano un dato che consente l’identificazione di una persona fisica?

Mi vengono in mente gli studi fotografici. Tutte le fotografie stampate e non necessarie dovrebbero essere distrutte correttamente e non semplicemente accartocciate o strappate e gettate nel cestino!

Inoltre per Supporti Fisici si intendono CD/DVD, carte di credito, hard disk e dischetti.

Ma prima di tutto vediamo come richiedere questi dati al cliente.

Per fare la raccolta dati devono essere utilizzati dei moduli appositi che vanno compilati e firmati dal cliente e che devi conservare per 10 anni.

Questi moduli devono contenere:

  • campi da far compilare con i dati che ti interessano.
  • L’Informativa sulla Privacy, dove viene spiegato in maniera chiara come verranno usati i dati e che NON verranno ceduti a terzi.
  • La dicitura per l’Accettazione al trattamento dei dati personali, con sotto due caselle da spuntare con scritto “Do il consenso” e “ Nego il consenso”.
  • Se desideri inviare materiale promozionale e fare Marketing diretto, va inserita anche la dicitura “Acconsento al trattamento dei dati personali, per finalità legate ad attività di marketing diretto (invio di materiale formativo e promozionale)” o qualcosa del genere (l’importante è che sia chiara la finalità del trattamento dati), con sotto altre due caselle da spuntare (separate da quelle precedenti) con scritto “Do il consenso” e “ Nego il consenso”.
  • Lo spazio per la firma del cliente.

N.B. Nel caso in cui i dati siano per l’iscrizione a una Fidelity Card, dovrai allegare anche un foglio contenente il Regolamento e la nota informativa sulla Privacy.

Ora passiamo alla CORRETTA CONSERVAZIONE e DISTRUZIONE DEI SUPPORTI FISICI.

  • I documenti cartacei e i supporti contenenti dei dati non più utili all’azienda devono essere distrutti in maniera sicura attraverso un distruggidocumenti o correttamente smagnetizzati.
  • I documenti cartacei e i supporti che invece sono ancora utili devono essere tenuti in maniera organizzata in scatole e raccoglitori in modo da essere facilmente reperibili in caso di bisogno.
  • I documenti e i supporti contenenti dati sensibili devono essere tenuti in armadietti chiusi a chiave e dovrebbero essere accessibili solo a personale aziendale autorizzato.
  • Non dimenticare di includere i dipendenti che lavorano da casa o che viaggiano spesso, istruendoli su come proteggere i propri documenti.

FOCUS sulla DISTRUZIONE DEI SUPPORTI FISICI

Esistono diverse tipologie di Distruggidocumenti, che si differenziano in base a 3 caratteristiche principali:

1. Livello di Sicurezza richiesto

2. Tipologia di Documenti da distruggere (solo carta o anche CD, DVD, graffette, ecc..)

3. Prestazioni desiderate. Ne esistono di più o meno efficienti a seconda della quantità di documenti da distruggere contemporaneamente, in base al livello di rumorosità, ecc…

Trattare questo argomento in maniera dettagliata richiederebbe un articolo a parte, ma soffermiamoci un attimo sul primo punto, che è quello che ci interessa in questo articolo: il Livello di Sicurezza.

In particolare qui vige ancora la Norma DIN 66399 che definisce 7 Livelli di Sicurezza per la Distruzione della Carta e di altri supporti fisici come CD/DVD, carte di credito, hard disk e dischetti.

LIVELLO DI SICUREZZA 1: Documenti di carattere generale che devono essere invalidati o resi illeggibili.

LIVELLO DI SICUREZZA 2: Documenti interni che devono essere invalidati o resi illeggibili.

LIVELLO DI SICUREZZA 3: Supporti dati con dati sensibili, riservati e personali che richiedono una maggiore protezione.

LIVELLO DI SICUREZZA 4: Supporti dati con dati particolarmente sensibili e riservati nonché dati personali che richiedono una maggiore protezione.

LIVELLO DI SICUREZZA 5: Supporti dati con informazioni strettamente segrete di rilevanza per l’esistenza di una persona, azienda o istituzione.

LIVELLO DI SICUREZZA 6: Supporti dati con documenti strettamente segreti, quando è necessario

LIVELLO DI SICUREZZA 7: Per dati strettamente segreti, per cui necessario adottare le misure di prevenzione di massima sicurezza.

In base al Livello di Sicurezza bisognerà dotarsi di un Distruggidocumenti di Classe adeguata (da P-1 a P-7), che attua diversi tipi di taglio:

  • Il taglio a strisce, ideale per livelli di sicurezza limitata (P-1 e P-2);
  • Il taglio incrociato, che risponde a livelli di sicurezza media (P-3 e P-4);
  • Il microtaglio per livelli di sicurezza elevata (P-5);
  • Il super microtaglio per il livello di sicurezza massima (P6 e P7).

Di seguito trovi uno schema con la classificazione.

CLASSIFICAZIONE CARTA, PELLICOLA, ETC
P-1 riduce il volume della carta straccia particelle ≤ 2cm² o ≤ 12mm strisce
P-2 ad uso personale, i frammenti rimangono leggibili particelle ≤ 0,8cm² o ≤ 6mm strisce
P-3 documenti riservati, difficile il riassemblaggio e la lettura particelle ≤320mm² o ≤ 2mm strisce
P-4 documenti riservati, estremamente difficile il riassemblaggio particelle ≤ 160mm² e larghezza particella 6 mm max (es.4x38mm)
P-5 documenti strettamente riservati, impossibile il riassemblaggio particelle ≤ 30mm² e larghezza particella 2mm max (es. 2x15mm)
P-6 sicurezza ancora più elevata per documenti di estrema sensibilità particelle ≤ 10mm² e larghezza particella 1 mm max (es.0.8x12 mm)
P-7 il maggiore livello di sicurezza possibile particelle ≤ 5mm² e larghezza particella 1mm max (es. 0.8x5mm)

I Distruggidocumenti Buffetti

Disponibili nei livelli di sicurezza da P-2 a P-5 sono la soluzione perfetta per:

TUTELA DEI DATI PERSONALI IN CASA
→ Livello di Sicurezza Consigliato: P-2
Ricorda che i dati sensibili sono contenuti nelle ricevute delle bollette, negli estratti conto, copie di contratti di attivazione di tutti i tipi di utenze, richieste di finanziamenti, polizze assicurative, scontrini e ricevute di carte di credito, vecchie carte di credito, carte telefoniche e tessere fedeltà.

TUTELA DEI DATI PERSONALI PER I NEGOZI AL DETTAGLIO
→ Livello di Sicurezza Consigliato: P-2
Ricorda che i dati sensibili sono contenuti nei dettagli clienti e fornitori, listini prezzi, informazioni sullo stock di magazzino, scontrini e ricevute di carte di credito, documenti e pratiche di concessione di credito al consumo, vecchie carte e tessere fedeltà.

TUTELA DEI DATI PERSONALI PER PICCOLE AZIENDE
→ Livello di Sicurezza Consigliato: P-4
Ricorda che i dati sensibili sono contenuti nei dettagli dei clienti, dei fornitori e dei dipendenti, listini prezzi, preventivi, documenti firmati, ricevute di vecchi pagamenti e tasse, piani finanziari, richieste di prestiti, note con indirizzi e numeri di telefono di fornitori, clienti e dipendenti.

TUTELA DEI DATI PERSONALI PER STUDI MEDICI, AMBULATORI E FARMACIE
→ Livello di Sicurezza Consigliato: P-4
Ricorda che i dati sensibili sono contenuti nei dettagli dei pazienti, dati degli impiegati, ricette da banco, ricette non ripetibili, carta intestata, vecchie cartelle cliniche, vecchi ricettari.

TUTELA DEI DATI PERSONALI PER STUDI PROFESSIONALI/LEGALI
→ Livello di Sicurezza Consigliato: P-5
Ricorda che i dati sensibili si trovano nei documenti contenenti informazioni personali di clienti ed assistiti quali indirizzi, numeri di telefono, fotocopie di documenti di identità, appunti su cause in corso, vecchi documenti o dossier, report di investigazioni, informazioni creditizie.

TUTELA DEI DATI PERSONALI PER ASSICURAZIONI, BANCHE E FINANZIARIE
→ Livello di Sicurezza Consigliato: P-5
Ricorda che i dati sensibili si trovano nei documenti contenenti informazioni personali di clienti quali indirizzi, numeri di telefono, fotocopie di documenti di identità, richieste di finanziamento, estratti conto della carta di credito, estratti conto finanziari, richieste di mutuo, informazioni del personale, estratti conto interessi, informazioni creditizie, polizze assicurative.

Vuoi sapere come Scegliere il Modello più adatto alle tue esigenze?

Andiamo avanti e vediamo la gestione dei dati in formato elettronico.

Gestisci dati personali in Formato Elettronico?

È il tuo caso se la tua attività gestisce:

  • Fidelity Card non cartacee
  • Email Marketing
  • Aree riservate all’interno del tuo sito web che richiedono accesso con credenziali
  • Software Gestionale con Database contenente l’Anagrafica dei Clienti / Fornitori

In questo caso la situazione è un po’ più complessa, ma non impossibile da risolvere (in fondo all’articolo scoprirai come).

Andiamo per gradi.

Se hai un sito web

Devi avere una pagina dedicata alla tua Privacy Policy con un link su tutte le pagine del sito, chiara e di facile consultazione.

Se richiedi dati personali tramite il tuo sito web con un Modulo di Contatto (sia per la richiesta informazioni, che per inviare materiale promozionale)

Devi utilizzare, come per il consenso cartaceo:

  • La dicitura per l’Accettazione al trattamento dei dati personali, con sotto due caselle da spuntare con scritto “Do il consenso” e “ Nego il consenso”.
  • Se desideri inviare materiale promozionale e fare Marketing diretto, va inserita anche la dicitura “Acconsento al trattamento dei dati personali, per finalità legate ad attività di marketing diretto (invio di materiale formativo e promozionale)” o qualcosa del genere (l’importante è che sia chiara la finalità del trattamento dati), con sotto altre due caselle da spuntare (separate da quelle precedenti) con scritto “Do il consenso” e “ Nego il consenso”.
Se tracci l’attività degli utenti per fini statistici e/o remarketing attraverso i cookies

Non è più sufficiente il banner unico in cui basta cliccare su “Ok” oppure continuare a navigare per avere il consenso.

Come abbiamo spiegato nella Teoria, per essere a norma con la GDPR il consenso dev’essere esplicito, quindi anche in questo caso bisogna prevedere caselle differenti e che l’utente può selezionare a suo piacimento, relativamente a:

  • Cookies necessari per continuare a navigare il sito web
  • Cookies per finalità Statistiche (es. Google Analytics)
  • Cookies per finalità di Marketing, Fidelizzazione o Profilazione (es. Pixel di Facebook)

Mentre le prime due caselle possono essere pre-compilate, quella relativa al Marketing NON deve esserlo.

Questo tipo di attività non è ancora stato regolamentato in maniera chiara nella pratica, per cui per il momento attieniti al classico banner dei Cookie con consenso implicito. Con il Regolamento ePrivacy le cose dovrebbero essere chiarite, e ti terremo aggiornato, quindi stay tuned 🙂

N.B. In tutti i casi sopra citati deve essere SEMPRE possibile il diritto di recesso, che dev’essere ben visibile e attuabile, così come la possibilità di cambiare il consenso fatto in precedenza.

Se fai Email Marketing

Ricorda che la persona che lascia la sua email deve aver acconsentito al trattamento dati di cui abbiamo parlato sopra (in forma cartacea o online).

Inoltre per essere a norma devi:

  • Utilizzare strumenti professionali “GDPR compliant”, come Mailchimp, Active Campaign, Getresponse e così via (e assolutamente non inviare email massive con il tuo account yahoo o gmail).
  • Dare la possibilità ai tuoi utenti di cancellarsi in qualsiasi momento con un click. Quindi assicurati di avere il link di disiscrizione sempre presente in fondo alle tue email.
  • Dare la possibilità ai tuoi utenti di modificare e aggiornare i loro dati in qualsiasi momento. Per far questo assicurati di avere il link apposito sempre presente in fondo alle tue email.
  • Inserisci sempre in fondo alle tue email un link che porti alla pagina della tua Privacy Policy.

In sostanza il footer (piè di pagina) delle tue email dovrebbe essere una cosa del genere: 

cosa fare se fai email marketing per essere a norma con la privacy

Riguardo a tutto quello che abbiamo detto finora, la Documentazione va utilizzata per completare il Registro del Trattamento dati personali, in modo che in caso di ispezioni da parte del Garante Privacy siamo in grado di dimostrare di star facendo tutto il possibile per evitare che ci siano violazioni dei dati.

Penso tu abbia capito che fare tutto questo lavoro da soli comporta due cose fondamentali:

  • ore e ore di lavoro
  • rischio altissimo di sbagliare qualcosa se non si è esperti del settore.

Benissimo, passiamo quindi alle Soluzioni!

AREA 3: LE SOLUZIONI

In questa parte trovi le migliori soluzioni per adeguarti al GDPR velocemente e senza pensieri!

Alle fine trovi un riepilogo schematizzato con tutti gli step pratici e i relativi costi.

Partiamo!

IL SOFTWARE QUI PRIVACY

QUI Privacy è il Software sviluppato dal gruppo Dylog Buffetti proprio per guidare e aiutare il Titolare a gestire tutti gli aspetti del Regolamento.

È stato realizzato da un team di sviluppo e da consulenti specialisti della Normativa.

È costruito su misura per le Piccole e Medie Imprese, ma ricopre completamente tutti gli aspetti del Regolamento GDPR e può tranquillamente essere utilizzato anche da aziende più grandi e strutturate.

Vediamo tutti i vantaggi: 

N
Software sviluppato e fruibile in cloud

Bastano un PC o uno Smartphone e una connessione a internet e potrai accedervi da ovunque tu voglia.

N
Interfaccia semplice, intuitiva e guidata

Con menu che ti guida passo passo verso le operazioni da compiere in sequenza.

Questo secondo punto è incredibilmente importante! Ti voglio fare un esempio per farti capire.

Consideriamo la parte relativa alla Valutazione del Rischio relativo a un Trattamento Dati Personali.

Come abbiamo visto sopra si tratta di un concetto molto astratto, e non si sa bene da dove partire per fare questo tipo di analisi.

Con QUI Privacy il problema è risolto! Come?

Con un semplice Questionario di 20 domande a cui dovrai rispondere selezionando le risposte da un menu a tendina che riguardano i vari aspetti della Normativa.

Una volta completato il questionario ti verrà automaticamente calcolato il Rischio relativo al Trattamento.

E in seguito a questo ti verrà proposta già una serie di Misure da Adottare per la Prevenzione e la Gestione dei Rischi da dichiarare.

…più facile di così!

Ma non finisce qui!

N
Tutto in Regola e in Sicurezza in un unico luogo

Avrai tutto il materiale in regola e conservato in un unico luogo all’interno dell’applicazione, senza rischio di perdere il lavoro fatto, grazie a protocolli di comunicazione protetti per garantire massima sicurezza delle chiamate tra il client e il server.

N
Glossario, FAQ e Aggiornamenti

Al suo interno trovi un Glossario della terminologia da sapere, una sezione FAQ con le risposte alle domande frequenti e una parte relativa alle novità normative che viene costantemente aggiornata, assieme ovviamente al Software.

N
BONUS: Registri Precompilati

All’interno del Software QUI Privacy trovi addirittura dei Registri Trattamento Dati precompilati per le finalità più comuni, come:

👉🏼 Trattamento dati per la Prestazione Professionale di un Commercialista

👉🏼 Trattamento dati per la Gestione Amministrativo-Contabile interna

👉🏼 Trattamento dati per finalità di Marketing

👉🏼 Trattamento dati indispensabile per il rapporto datore di lavoro-dipendente

👉🏼 Trattamento dati indispensabile per l’esecuzione di contratti con il cliente

👉🏼 Videosorveglianza

Questo nella pratica significa che ti basterà selezionare uno di questi modelli precompilati, aggiungere i dati mancanti che indica il Software, e il gioco è fatto!

Hai idea del tempo che risparmi in questo modo?

Può esserci ancora di più? Ebbene sì!

Con QUI Privacy puoi:

N
Generare automaticamente le informative e le nomine

Con possibilità di personalizzarle per la propria realtà aziendale, di scaricarle e stamparle con un click.

N
Documenti richiesti ai fini dell'Accountability

Potrai produrli in modo guidato, scaricarli e stamparli con un click.

N
Creare uno storico della Documentazione prodotta

Per mantenere ed aggiornare nel tempo le informazioni.

N
Comunicazioni in caso di Data Breach

Produrre eventuali comunicazioni per violazioni di dati personali all’Autorità Garante.

Ok, tutto questo quanto mi viene a costare?

Immagino sia questa la domanda che ti frulla in testa in questo momento.

Scoprilo qui!

Intanto ti anticipo che QUI Privacy costa meno di una consulenza e molto molto meno che farsi fare il lavoro da qualcuno.

Dico la verità, per noi di TOP Rimini questo Software è stata una vera e propria manna dal cielo!

Inoltre per gruppi di aziende, studi professionali, commercialisti e centri che vogliono erogare questo tipo di servizio, è prevista una configurazione multi-azienda con tagli per numero di aziende da gestire.

Trovi tutte le informazioni cliccando il pulsante qua sotto:

FORMAZIONE OBBLIGATORIA 

Il Gruppo Buffetti offre Corsi di Formazione, in particolare:

  • Corso per Titolari del Trattamento dei Dati Personali (4 ore)
  • Corso per Responsabile del trattamento dei dati personali (4 ore)
  • Corso per l’Incaricato al Trattamento dei Dati Personali (2 ore)

Si tratta di corsi con Formazione A Distanza (FAD), quindi fruibili quando e dove vuoi. 

Una volta terminati i corsi vengono sottoposti dei test e viene rilasciato un attestato di partecipazione e frequenza, che verrà conservato anche all’interno del Registro del Trattamento realizzato con QUI Privacy.

Vuoi maggiori informazioni?

CONSERVAZIONE e DISTRUZIONE dei DOCUMENTI CARTACEI e/o SUPPORTI FISICI

I Distruggidocumenti Buffetti sono 100% a norma di legge.

Vieni in negozio e valuteremo insieme quello più adatto alle tue esigenze!

Offriamo anche soluzioni per la corretta Conservazione dei documenti cartacei e supporti fisici a seconda del tipo di dati che tratti (da scatole per archivio classiche, ad armadietti chiusi a chiave).

ASSISTENZA TECNICA PER IL TUO SITO WEB

Hai un sito web e vuoi essere sicuro che sia in linea con la Normativa al 100%?

Oppure sai cosa fare ma non hai le competenze tecniche per farlo?

Allora non esitare a contattarci, noi possiamo aiutarti!

Illustraci la tua situazione particolare, e riceverai un preventivo su misura per te.

Conclusioni

Concludiamo ricapitolando velocissimamente cosa deve fare un’attività nella pratica per essere compliant:

  • Tenere e compilare il Registro dei Trattamenti (può essere in formato cartaceo, ma andrebbe compilato da un legale, oppure puoi utilizzare QUI Privacy, e creare il tuo Registro in maniera guidata, semplice ed economica).
  • Acquistare un Distruggi Documenti con Livello di Protezione adeguato (P4 o superiore, taglio a frammenti o microframmenti) se hai materiale cartaceo (o su supporti come CD/DVD) contenente Dati Personali.
  • Formarti adeguatamente con il Corso per il Titolare del Trattamento, ed eventualmente con quello per il Responsabile del Trattamento (se tratti dati di terzi). Non dimenticare di provvedere alla formazione di tutti i Dipendenti che trattano Dati Personali con il Corso per Incaricati al Trattamento Dati.
  • Redarre una Privacy Policy per il tuo sito web e metterti in regola per quanto riguarda la politica sui Cookie.
  • Raccogliere Dati con Finalità di Marketing sempre previo consenso esplicito e separato (cartaceo o con apposita spunta nei moduli di contatto online).

Una volta compilato il Registro del Trattamento, e fatta un’Analisi dei Rischi (che nel caso di QUI Privacy è inclusa e guidata), potrai valutare eventuali altre Misure di Sicurezza da adottare (es. antivirus, crittografia, sistemi di backup e quant’altro).

La cosa importante da capire è che per essere “Compliant” non basta fare il minimo indispensabile, ma deve essere un processo CONTINUO.

Infatti il Regolamento prevede che una volta analizzato il proprio caso specifico e prese delle Misure di Sicurezza, si debba ri-analizzare la situazione e vedere cos’altro si può migliorare.

Si tratta di un ciclo continuo di:

GDPR: analisi, protezione, controllo, miglioramento

Va fatto un po’ alla volta, senza andare nel panico, ma iniziando a fare qualcosa e ricordarsi un concetto di base:

Se sei una azienda o un professionista, raccogli e tratta solo i dati strettamente necessari e fallo nel modo che ritieni più sicuro, perché la responsabilità sarà comunque tua.

Bene, credo che per questo articolo sia tutto!

Lo so, articolo lunghissimo, ma se hai dedicato del tempo per leggerlo tutto avrai notato quanti sono gli aspetti da tenere in considerazione.

Spero però che tu abbia ora le idee molto più chiare e che sappia come muoverti.

Se hai qualsiasi tipo di domanda non esitare a contattarci o a lasciare un commento qua sotto, saremo lieti di risponderti!

Grazie per essere arrivato fino alla fine.

A presto!

Aggiornamento 19 Settembre 2018

Dal 19 Settembre il Regolamento GDPR è stato recepito come Legge dello Stato Italiano con il Decreto 101/2018.

A livello sostanziale non sono stati apportati grandi cambiamenti rispetto al Regolamento Europeo, che comunque rimane il punto di riferimento principale.

Per chi ancora non ha fatto nulla, convinto della solita proroga “all’italiana”, voglio dire una cosa molto importante.

NON E’ PREVISTO UNO SLITTAMENTO DELLE SANZIONI.

E’ stata dichiarata una “tolleranza” maggiore nei primi 8 mesi dalla data di entrata in vigore del decreto (Art. 22, comma 13).

MA ATTENZIONE!

Questo non significa che le sanzioni non verranno applicate, ma soltanto che potrebbero essere meno severe.

Quello che voglio che sia ben chiaro è che si tratta di un Regolamento Europeo che non può essere modificato nella sostanza a livello Nazionale.

In poche parole, non ci sono scappatoie!

Sei ancora sicuro di temporeggiare?

Non farti trovare impreparato in caso di controlli.

QUI Privacy è La Soluzione Semplice ed Economica per essere in Regola al 100%.

Serena Saracini

Serena Saracini

Scrittrice del team, riempie pagine web di contenuti originali, creativi e interessanti.

Divoratrice di libri, articoli e blog, alla ricerca di informazioni sempre nuove.

2 Commenti

  1. ALESSIA DE FINIS

    Quante aziende possono essere gestite con questo programma?

    Rispondi
    • Andrea Bianchi

      Ciao Alessia! QUI Privacy nella versione da 150€ al mese è Monoazienda, quindi gestisce una sola partita IVA. C’è però anche la possibilità di attivare versioni Multiazienda da 10 Aziende, 50 Aziende, 100 Aziende e anche Illimitato. Scrivici a info@toprimini.it se vuoi saperne di più!

      Buona giornata,
      Andrea

      Rispondi

Invia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Aiutaci ad aiutarti!

Scrivere articoli così lunghi e dettagliati richiede tempo e fatica...

Se ti è piaciuto questo articolo, non tenere queste informazioni solo per te e condividilo con i tuoi amici!

A te non costa nulla, può essere utile ad altri e per noi è fonte di grande soddisfazione!

Entra a far parte della nostra Community!

Clicca sulla foto sottostante, metti "mi piace" alla pagina "TOP Rimini - Affiliato Buffetti" e segui tutti i consigli che pubblichiamo per migliorare la tua produttività!

"

Potrebbero interessarti anche...

"

FATTURA ELETTRONICA: COSA FARE E COME ADEGUARSI

  Questo periodo è decisamente denso di cambiamenti importanti ed epocali. Dopo la rivoluzione del Nuovo Regolamento sulla Privacy (GDPR), eccoci alle prese con la Fatturazione Elettronica. Dal 1 Gennaio 2019 infatti, tutte le Partite IVA dovranno essere in grado di...

Quanto costa un sito web? Tutto quello che devi sapere PRIMA di spendere un solo €

Quanto costa un sito web? La domanda delle domande. Il fattore che spaventa di più quando si pensa alla realizzazione di un sito web. Una domanda dalle risposte più disparate e controverse. Quando si parla di prezzo di un sito web, chi ha ragione? Chi dice che un sito...

GDPR: SOLUZIONI PRATICHE per Aziende e Professionisti

Benvenuto! Sei davanti alla Guida più Completa, Semplice ed Esaustiva sul GDPR che puoi trovare sul Web se sei un Professionista o una Piccola/Media Impresa. Se hai tempo ti consiglio di leggerlo tutto, mentre se vai di fretta puoi cliccare su uno dei pulsanti qua...

Verifica e Conta Banconote False: Guida Completa alla Scelta

Se ti trovi su questa pagina è perché sicuramente stai cercando di capire quale Verifica Banconote False scegliere.  Ottimo, sei nel posto giusto! 😉 L’argomento di questo articolo è molto importante: si tratta di Soldi. In particolare, parliamo di Soldi Falsi....

Salvare un file in PDF: tutto quello che devi sapere

Ti è mai capitato di andare a stampare un documento in copisteria e di scoprire che la stampa non era fedele a quella rappresentata sulla videata del tuo monitor? Devi sapere che gli editor di testo come Microsoft Word, OpenOffice Writer, ecc. adattano i testi e le...

Costo copia e resa di stampa: salva il portafogli e stampa di più!

In questo articolo ti spiegherò come risparmiare parecchi € nel tempo, analizzando 3 semplici concetti: il costo copia della tua stampante, la resa di stampa delle cartucce e la copertura del foglio. Imparerai così a leggere bene sul retro delle cartucce prima di...

Quale stampante scegliere? La GUIDA DEFINITIVA

Non sai quale stampante scegliere? Sei indeciso tra una Laser o una Inkjet? Vuoi sapere quale stampante consuma meno inchiostro, o quale stampante ha le cartucce più economiche? Questa guida completa chiarirà ogni tuo dubbio! In più, alla fine dell'articolo, ti...

Vieni a trovarci!

Siamo a Rimini, in via Marecchiese 74, con ampio parcheggio, conquistato con le unghie e con i denti per agevolarti al meglio 🙂

Siamo Aperti:

Lun - Ven: 8:30 - 13:00 | 14:30 - 19:30

Sab: 9:00 - 12:30

Dom e festivi: chiuso

Contatti:

info@toprimini.it

buffettirimini

Copyright @TOP Rimini | powered by Palmice S.r.l. | P. IVA: 03721480402

Privacy Policy Cookie Policy

Condividi il nostro articolo su: