UNI EN ISO 9001:2015
UNI EN ISO 27001:2013
Il Regolamento introduce regole più chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l’esercizio di nuovi diritti, stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’Ue e per i casi di violazione dei dati personali (data breach)
L’informativa riguardo al trattamento dei dati personali e all’esercizio dei diritti diventa sempre più trasparente.
Per facilitare la comprensione dei contenuti si potrà fare ricorso a icone (uguali in tutta l’Unione europea).
Gli interessati dovranno sapere se i loro dati sono trasmessi al di fuori dell’Ue (con quali garanzie) e che hanno il diritto di revocare il consenso a determinati trattamenti
Il consenso al trattamento dei dati personali dovrà essere preventivo e inequivocabile. Per trattare i dati sensibili è previsto il consenso «esplicito». Viene esclusa ogni forma di consenso tacito (il silenzio non equivale al consenso) o ottenuto mediante opzioni già selezionate dall’interessato.
Il consenso potrà essere revocato in ogni momento.I fornitori di servizi Internet e i social media, dovranno richiedere il consenso ai genitori per trattare i dati personali dei minori di 16 anni
Il Regolamento introduce il diritto alla «portabilità» dei propri dati personali per trasferirli da un titolare del trattamento ad un altro.
Ad esempio, si potrà cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati.
Ci saranno però alcune eccezioni che non consentono l’esercizio del diritto: in particolare, quando si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafi.
Grazie all’introduzione del «diritto all’oblio», gli interessati potranno ottenere la cancellazione dei propri dati personali anche on line da parte del titolare del trattamento, qualora ricorrano alcune condizioni: se i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti; se i dati sono trattati illecitamente; se l’interessato si oppone legittimamente al loro trattamento; ecc. A questo diritto si accompagna l’obbligo per il titolare del trattamento che ha pubblicato i dati di comunicare la richiesta di cancellazione a chiunque li stia trattando. Il diritto all’oblio potrà essere limitato solo in alcuni casi specifici.
Le decisioni che producono effetti giuridici non potranno essere basate esclusivamente sul trattamento automatizzato dei dati; faranno eccezione i casi in cui l’interessato abbia rilasciato un consenso esplicito.
Sono previste garanzie per gli interessati come: il diritto di opporsi alla decisione adottata sulla base di un trattamento automatizzato o il diritto di ottenere anche l’intervento umano rispetto alla decisione stessa. Se il trattamento è finalizzato ad attività di marketing diretto, l’interessato ha sempre il diritto di opporsi alla profilazione
Vietato il trasferimento di dati personali verso Paesi al di fuori dell’Ue o organizzazioni internazionali che non rispondono agli standard di adeguatezza in materia di tutela dei dati. In mancanza di un riconoscimento di adeguatezza, i titolari potranno utilizzare per il trasferimento specifiche garanzie contrattuali. In assenza di esse, i dati potranno essere trasferiti solo con il consenso esplicito dell’interessato, oppure qualora ricorrano particolari condizioni. Il trasferimento o la comunicazione di dati personali di un cittadino dell’Ue ad autorità giudiziarie o amministrative di Paesi terzi potranno avvenire sulla base di accordi internazionali di mutua assistenza giudiziaria o attraverso strumenti analoghi.
Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali (data breach) all’Autorità nazionale di protezione dei dati. Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare tutti gli interessati e offrire indicazioni su come intende limitare le conseguenze. Il titolare del trattamento potrà decidere di non informare gli interessati: se riterrà che la violazione non comporti un rischio elevato; se dimostrerà di avere adottato misure di sicurezza; nell’eventualità in cui informare gli interessati comporti uno sforzo sproporzionato (ad esempio, se il numero delle persone coinvolte è elevato). In questo ultimo caso è richiesta una comunicazione pubblica.
Imprese ed enti avranno più responsabilità, ma potranno beneficiare di semplificazioni.
In caso di inosservanza delle regole sono previste sanzioni, anche elevate.
Il Regolamento è applicabile e vincolante in tutti gli Stati membri dell’Unione europea. Si applica integralmente alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti a persone che si trovano nel territorio dell’Unione europea.
Fra le principali novità del Regolamento c’è il cosiddetto «sportello unico» (one stop shop), che semplificherà la gestione dei trattamenti e garantirà un approccio uniforme. Le imprese stabilite in più Stati membri o che offrono prodotti e servizi in vari Paesi dell’Ue, per risolvere possibili problematiche potranno rivolgersi ad un solo interlocutore: all’Autorità di protezione dei dati del Paese dove si trova il loro stabilimento principale.
Il Regolamento promuove la responsabilizzazione (accountability) dei titolari del trattamento e l’adozione di approcci che tengano conto del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati. Il principio-chiave è «privacy by design», ossia garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o di un sistema.
Viene introdotta la figura del «Responsabile della protezione dei dati» (Data Protection Officer o DPO), incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti. In compenso, scompaiono alcuni oneri amministrativi come l’obbligo di notificare particolari trattamenti.
Il Regolamento promuove il ricorso a codici di condotta da parte di associazioni di categoria e altri soggetti, sottoposti all’approvazione dell’Autorità nazionale di protezione dei dati ed eventualmente della Commissione europea. Il titolare potrà far certificare i propri trattamenti, in misura parziale o totale, anche ai fini di trasferimenti di dati in Paesi terzi. La certificazione potrà essere rilasciata da un soggetto abilitato oppure dall’Autorità di protezione dei dati. L’adesione ai codici di condotta e la certificazione del trattamento saranno elementi di cui l’Autorità dovrà tenere conto, per esempio, nell’applicare eventuali sanzioni o nell’analizzare la correttezza di una valutazione di impatto effettuata dal titolare.
UNI EN ISO 9001:2015
UNI EN ISO 27001:2013
Il Sistema di Gestione della Sicurezza delle Informazioni ISO 27001:2013 offre ai nostri clienti la sicurezza che le informazioni sono ben protette a prescindere dal metodo di archiviazione, cartaceo o elettronico, o dal know-how del singolo individuo.
La certificazione ISO 9001:2015, fortemente sostenuta dalla direzione aziendale, fornisce inoltre la garanzia che tutti i responsabili in azienda percepiscano un approccio strategico al sistema qualità.
Il processo di implementazione e certificazione messo a punto da Globalsystem assicura che gli obiettivi aziendali confluiscano costantemente nei processi e nelle procedure di lavoro per garantire l’ottimizzazione di tutte le risorse produttive.