FAQ GDPR Agenzie d affari

Transcript

1 FAQ GDPR Agenzie d affari Cosa vuol dire GDPR? General Data Protection Regulation ovvero Regolamento Generale sulla Protezione dei Dati. Il GDPR vuole che vengano adeguatamente protetti i dati di persone fisiche. Non sono considerati nel GDPR i dati di persone giuridiche (anche ditte individuali) e i dati conservati per l utilizzo domestico. Cosa significa trattamento di dati personali? Il trattamento di dati personali è appunto una qualsiasi operazione che viene svolta sui dati di una persona. È possibile avere qualche esempio di trattamento dati personali? Ecco degli esempi al trattamento di dati personali: - memorizzazione di anagrafiche, numeri di telefono, indirizzi (in cartaceo o in elettronico); - contatto di clienti o contatti tramite sms, , telefono; - acquisizione di immagini con la videosorveglianza; - invio newsletter; - gestione di un sito web. L'informativa privacy può essere inserita nel mandato di vendita? L informativa privacy inserita nel mandato è data relativamente ai dati di tipo fiscale e TULPS. Se si raccolgono dati personali come o numeri di telefono e si vuole comunicare con i clienti via o sms per informarli sulle iniziative del negozio è necessario un ulteriore documento per il consenso esplicito.

2 Devo adeguarmi al GDPR anche se non invio nessun tipo di comunicazione ai miei clienti? Si, il GDPR si applica per qualunque tipo di operazione che viene svolta sui dati personali. Un dato personale è una qualunque informazione riconducibile ad una persona. Ad esempio nome e cognome, numero di telefono, codice fiscale, indirizzo IP. Che cos è il registro dei trattamenti? È un registro dove il titolare dei dati personali indica le tipologia di trattamento effettuato e le finalità, chi effettua tali trattamenti, quali sono le misure di sicurezza adottate, che tipo di consensi sono stati raccolti e che tipo di informativa è stata rilasciata, come vengono conservati i dati e che tipo di misure sono state adottare per tutelare i dati. Ovviamente vanno indicati chi sono il titolare e gli eventuali responsabili del trattamento. Infine vanno indicate le garanzie per l eventuale trasferimento di dati. È necessario stabilire un tempo oltre i quali vengono cancellati o anonimizzati? Assolutamente si, è uno dei dettami del GDPR e va inserito nella privacy policy. Per i dati TULPS può essere previsto una durata del trattamento di 11 anni dall ultima operazione effettuata sul registro degli affari. Dopo tale periodo i dati vanno anonimizzati oppure cancellati. Va prevista una durata per ogni trattamento effettuato. Che cos è la privacy policy? È un documento che descrive nella maniera più dettagliata e chiara possibile le modalità di gestione e di trattamento dei dati personali raccolti, siano essi relativi a clienti, dipendenti, visitatori del sito internet, ecc. Cos è l informativa? L informativa è il documento consegnato al momento della raccolta dei dati, in modo che gli interessati vengano informati sul perché della raccolta dati e sulle modalità e le logiche applicate al trattamento degli stessi.

3 Perché l informativa deve essere firmata? Il GDPR prevede che ogni trattamento, esclusi quelli contrattuali o di legge debbano essere espliciti. Per cui se la finalità di trattamento essa deve essere esplicitamente autorizzata per iscritto. Posso continuare ad inviare o sms ai miei clienti acquisiti prima del 25 maggio? È possibile solo se c è stata una preventiva approvazione esplicita al trattamento. Quindi se in passato si faceva firmare l informativa al cliente è possibile, altrimenti no. Cosa sono i responsabili esterni del trattamento? Sono professionisti o aziende che trattano dati personali per conto del titolare. Ad esempio il commercialista, la software house che effettua l assistenza sul software, l azienda che gestisce il cloud dove vengono memorizzati dati personali, ecc. Quali sono le caratteristiche di un sito web perché sia coerente con la normativa? Va fatta una valutazione sul trattamento effettuato attraverso il sito web. In genere sono necessarie le seguenti caratteristiche: - Dal sito web deve essere possibile accedere ad una privacy policy e ad una cookies policy. - Se nel sito web è prevista l iscrizione ad una newsletter, l utente deve autorizzare l utilizzo dei dati personali, in base al trattamento previsto. L iscrizione deve quindi essere esplicita e dimostrabile (data dell iscrizione dell utente). - L utente dovrebbe potersi de-iscrivere dalle newsletter inviate in modo semplice. - In merito ai cookies, essi devono essere depositati sul PC dell utente solo successivamente alla presa visione dell informativa. - Google Analitycs va settato per anonimizzare le visite, oppure questo trattamento va autorizzato esplicitamente dall utente.

4 Quali sono i requisiti di sicurezza richiesti dal GDPR? In realtà il GDPR non li indica ma è l imprenditore che deve fare una valutazione. Ad esempio: - Se su un server web transitano dati personali è opportuno che la comunicazione sia criptata (https e non http); - È necessario prevedere un sistema di backup efficace, protetto da password o criptato. - La password deve essere sicura e tutti i software che contengono dati personali devono essere protetti da password. - Ogni utente deve trattare i dati personali in base a quanto previste sul registro dei trattamenti. - Ogni PC deve avere un sistema operativo aggiornato. Quindi se qualcuno utilizza ancora Windows Xp, esso non è più compatibile con il GDPR, visto che non viene più aggiornato. La stessa cura per gli aggiornamenti, spesso legati alla sicurezza, vale per gli strumenti online utilizzati per gestire dati personali (ad esempio Wordpress). Se utilizzo Facebook o altri social per acquisire dati personali, cosa devo fare? Il trattamento effettuato va previsto nel registro dei trattamenti. Se avessi necessità di una consulenza a chi devo rivolgermi? Di solito il professionista che segue la privacy è il medesimo che si occupa della sicurezza che a volte è riconducibile al consulente delle paghe. Raramente il commercialista si occupa di questa materia. Che cos è il data breach? È la violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l accesso ai dati personali trasmessi, conservati o comunque trattati. Cosa può provocare un data breach? L accesso non autorizzato ai dati, l infezione da virus informatico, la perdita di una chiavetta USB di backup, il furto di un computer.

5 Cosa devo fare in caso di data breach? Il data breach va notificato al garante entro 72 ore. In alcuni casi va notificato anche ai clienti oggetto del data breach. Quali sono le modifiche previste a J2K Premium? Per l adeguamento al GDPR, J2K Premium, il nostro software per la gestione mercatino dell usato, prevederà: - l adeguamento del mandato di vendita; - l adeguamento dell informativa privacy, - l anonimizzazione dei dati al termine della durata del trattamento; - l esportazione dei dati personali di un utente per garantire la portabilità. L aggiornamento sarà gratuito e riservato agli intestatari della licenza J2K Premium. Consigliamo inoltre l attivazione dei moduli J-Utenti e J-Backupweb.