La grande novità introdotta con il GDPR è il concetto “accountability”.
Questo termine riguarda tutti i singoli aspetti della conformità normativa e gli e-commerce sono i principali soggetti obbligati ad aderire al 100% al Regolamento Europeo.
Così come riportato anche sul sito ufficiale del Garante della Privacy, il termine “accountability” indica proprio:
“la responsabilità del titolare del trattamento dei dati rispetto all'adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del regolamento”.
I principali punti da tenere a mente per la completa conformità
degli e-commerce sono:
1 tenuta del registro delle attività di trattamento (ART.30 regolamento GDPR):
un documento che va mantenuto costantemente aggiornato e contiene le principali informazioni relative alle operazioni di trattamento svolte dall’azienda.
Il registro deve contenere diverse sezioni in cui vanno raccolte le finalità del trattamento, le categorie dei soggetti interessati e dei dati personali, le informazioni relative all’eventuale trasferimento dei dati personali verso un paese terzo, i termini di cancellazione dei dati e le misure di sicurezza adottate
2 Data Protection Impact Assessment - valutazione d’impatto (ART.35)
La DPIA è richiesta dal regolamento per i trattamenti con rischio elevato per i diritti e le libertà fondamentali della persona (come, per esempio, i trattamenti su larga scala), ma non solo. In base al principio di accountability la realizzazione della DPIA è una prassi consigliabile per tutti i trattamenti, in quanto capace di rendere pienamente consapevole il titolare della necessità e della proporzionalità delle attività di trattamento.
3 designazione degli incaricati di trattamento (ART.4 e ART.29)
La predisposizione di lettere di autorizzazione a ciascuno dei soggetti che operano con i dati personali è vivamente consigliata nello spirito di una concreta responsabilizzazione condivisa del personale interno ad una organizzazione.
4 adozione di specifiche misure di sicurezza (ART.32)
La valutazione delle misure più efficaci da adottare deve essere fatta caso per caso in base ai trattamenti effettuati ed ai rischi connessi per predisporre delle misure tecniche ed organizzative idonee per la protezione dei dati.
Ad esempio per un sito di e-commerce potrebbe essere di fondamentale importanza prevedere le apposite procedure per la conservazione delle credenziali di accesso
5 creazione del registro per le violazioni (ART.33)
Oltre all'auto-segnalazione al Garante, per il titolare del trattamento è obbligatorio tenere un apposito registro in caso di successive verifiche sul rispetto del GDPR. Tale documento deve contenere tutti i dettagli relativi alla violazione occorsa, comprese le cause che l’hanno generata, i dati personali coinvolti, le conseguenze ed i rimedi adottati.
6 predisposizione di accordi relativi al trattamento esterno dei dati personali (ART.28)
Spesso i siti di e-commerce usano aziende esterne per varie attività come banalmente l’invio di mail di marketing o la società di spedizioni fisiche dei prodotti. In questo bisogna predisporre un contratto ad hoc che disciplini le modalità di trattamento dei dati personali tramite questi canali ed il rapporto tra il titolare e responsabile del trattamento e queste aziende terze.
7 nomina del responsabile della protezione dei dati (ART.37)
in caso di trattamenti di dati su larga scala, il titolare e il responsabile del trattamento deve comunicare al Garante Privacy il nominativo del Responsabile della Protezione dei Dati (ovvero il “DPO”). Il soggetto designato - che può essere interno oppure esterno - avrà poi il compito di sorvegliare autonomamente il pieno rispetto del GDPR.
Questi sono i requisiti minimi per poter operare serenamente con un e-commerce (oppure vendere tramite canali online i prodotti del nostro negozio fisico) e le autorità sono estremamente attente ad ogni mancanza e pronte a battere cassa a suon di multe.
Non è solo un problema
di sanzioni delle autorità.
La Guardia di Finanza e il Garante della Privacy stanno effettuando controlli sempre più serrati a causa dell’aumento esponenziale dei casi di violazioni della sicurezza, ma non è questa l’unica cosa che deve preoccuparti.
Difatti un attacco informatico che causa un cosiddetto “data breach” ha conseguenze maggiori di quello che puoi pensare. Una scorretta gestione dei dati andrà a minare in maniera profonda la fiducia dei tuoi clienti, ti può esporre a controversie legali e - come se non bastasse - ti costerà fior di quattrini sia per pagare il riscatto richiesto dagli hacker, che per il ripristino delle tue macchine.
Server, portatili, postazioni fisse e addirittura le stampanti possono essere compromessi al punto di dover essere sostituiti del tutto ed anche se fossero riparabili, il costo sarà sempre elevato.
Se pensavi che la questione della conformità alla GDPR e l’attenzione alla cyber security fossero qualcosa che interessa solo alle grandi aziende o quelle con tanti dipendenti sei fuori strada.
Da un lato è vero che le aziende più note sono vittime prestigiose, un attacco ai loro sistemi può creare danni incalcolabili e ci sono già stati casi di riscatti milionari come questi:
Dall’altro però è vero che più le aziende sono grandi, maggiore è la loro capacità di protezione, perché magari hanno un intero reparto dedicato solo alla cyber security.
In quest’ottica diventa molto più semplice per un hacker attaccare realtà più piccole e con minori difese, come PMI, studi professionali, attività su strada ed aziende con pochi dipendenti poiché in media adottano un livello di protezione basso o addirittura nullo.
La cosa davvero assurda infatti è che, anche ormai a distanza di qualche anno dall’uscita in vigore del regolamento europeo GDPR (General Data Protection Regulation), decine di migliaia le aziende si trovano ancora in una posizione di rischio elevatissimo, spesso perché pensano di non rientrare nella normativa.
Nulla di più sbagliato!
Anche se inizialmente il GDPR sembrava orientato alle aziende con più di 250 dipendenti, in realtà ci sono alcuni passaggi che rendono di fatto obbligatorio per tutti l’adesione e la conformità alle varie disposizioni del regolamento.
L’esenzione dall’applicazione degli obblighi decade se:
- il Titolare effettua trattamenti che possano presentare un rischio per i diritti e le libertà dell’interessato;
- il Titolare effettua trattamenti non occasionali;
- il Titolare effettua trattamenti delle categorie particolari [all’ART.9, paragrafo 1 GDPR], o di dati personali relativi a condanne penali e a reati [all’ART.10 GDPR].
Secondo queste precisazioni, di fatto qualunque attività commerciale, anche il singolo negoziante che abbia almeno un dipendente e quindi banalmente anche tutti i bar, ristoranti, officine, distribuzione, ecc. sono tenuti all’adeguamento normativo.
Vuoi scoprire se la tua attività è al sicuro dagli attacchi ed in regola
con le normative attuali?
Ti piacerebbe poter parlare delle esigenze specifiche per la tua attività con un professionista per fare chiarezza una volta per tutte?
Clicca sul bottone verde per fissare un appuntamento con un esperto di Easy GDPR.
Si tratta di un servizio di consulenza preliminare gratuita senza impegno.
Se sei un imprenditore o stai per lanciare il tuo business, ti aiuteremo a conoscere meglio problemi e soluzioni per la corretta gestione della conformità normativa e della cyber security.
Perché affidare la protezione della tua azienda agli specialisti di Easy GDPR?
Siamo un’azienda di consulenza e servizi specializzata in maniera verticale su tutto quello che riguarda la conformità delle aziende alla normativa sulla GDPR e la Cyber Security.
I nostri pacchetti sono modulari, con soluzioni che ti permettono di raggiungere il massimo grado di protezione e la serenità di essere 100% conforme alle disposizioni di legge (quindi zero contestazioni e zero sanzioni da parte delle autorità) in maniera semplice ed immediata.
Easy GDPR ha la soluzione perfetta per te sia se parti da zero e non hai ancora provveduto a mettere in sicurezza la tua attività, sia se invece hai solo la necessità di integrare dei servizi aggiuntivi a quelli che hai già in essere.
È davvero necessario dotarsi di un sistema di protezione dei dati?
Nonostante l’aumento degli attacchi, ancora troppe aziende si decidono ad allinearsi alle disposizioni previste solo quando ormai è troppo tardi.
Il risultato è che oltre al danno c’è la beffa, perché in caso di attacco (o di controlli delle autorità) devono sostenere i costi per il ripristino, i costi legati al danno d’immagine, le sanzioni previste per i mancati adempimenti ed infine anche l’acquisto della protezione specifica per l’azienda.
Immagina i servizi di Easy GDPR come la polizza RC della tua auto.
Spesso pensiamo che la polizza RC obbligatoria sia una spesa inutile a cui ci obbliga la legge, ma quando poi ti capita un sinistro benedici ogni singolo centesimo speso.
Cosa accade quando chi è coinvolto in un incidente è sprovvisto di polizza?
Diciamo che non vorremmo proprio essere nei suoi panni…
Easy GDPR funziona proprio come la tua polizza RC: così come acquisti la copertura assicurativa per la tua auto sperando che non ti servirà mai veramente, allo stesso modo ti affidi a noi per stare tranquillo e lavorare in tutta serenità.
Ti assicuriamo il massimo grado di protezione e il supporto costante per tutte le attività necessarie all’adeguamento alla normativa attuale ed i suoi futuri aggiornamenti (è previsto un massivo intervento della commissione europea nei prossimi mesi).
Le attività da organizzare sono tante, dalla creazione della Privacy Policy adatta al tuo business, alla Gestione dei Cookies, dalle Registrazione e Archiviazione dei dati sensibili fino alla scelta dei Protocolli di difesa dei sistemi. Da dove iniziare?
Il processo di adeguamento è articolato e richiede un approccio in più fasi, ma non è complesso come sembra se ti fai affiancare da chi è specialista della materia come noi:
FASE 1: analisi dell’azienda e individuazione delle attività di trattamento necessarie;
FASE 2: valutazione dei rischi e implementazione di misure di sicurezza adeguate;
FASE 3: nomina - se necessario - del Responsabile per la protezione dei dati (DPO o RPD).
FASE 4: predisposizione della “Informativa Privacy” per tutti i soggetti interessati;
FASE 5: individuazione dei ruoli e disciplina dei rapporti con i soggetti coinvolti;
FASE 6: redazione del Registro delle attività di trattamento.
Tutto questo riguarda solo la parte di conformità normativa, poi c’è ovviamente l’aggiunta dei servizi di Cyber Security necessari ad impedire ogni possibile attacco tramite malware, phishing, ransomware ed altri sistemi di usati dagli hacker.
La buona notizia è che puoi risolvere in un solo colpo tutte le necessità legate alla conformità GDPR e la protezione della tua azienda grazie ai servizi di Easy GDPR.
Il nostro sistema di protezione completa prevede un pacchetto con un costo mensile fisso e prevedibile, che comprende tutto ciò di cui hai bisogno.
Clicca sul bottone qui sotto e prenota subito una consulenza preliminare gratuita e senza impegno. Potrai parlare con un nostro esperto per individuare le soluzioni personalizzate per la tua attività:
Negli ultimi mesi potresti aver visto la campagna pubblicitaria del Garante della Privacy che recitava: “I tuoi dati sono un tesoro da proteggere insieme”.
Questo aumento del livello di allerta che ha portato le autorità a diffondere messaggi del genere è dovuto proprio al moltiplicarsi degli avvenimenti malevoli su siti istituzionali, aziende pubbliche e private di ogni dimensione.
Le notizie più recenti parlano di un attacco ai sistemi di Trenitalia, ma non è che l’ultimo di una serie di violazioni più o meno gravi.
Infatti l’obiettivo del Garante non è tanto il terrorismo psicologico legato alle possibili sanzioni (l’Italia è addirittura terza in Europa), quanto la volontà di mettere in guardia gli imprenditori e le aziende soggette al rispetto della normativa GDPR, così da prevenire, ridurre ed evitare - ove possibile - i danni collaterali come il furto dei dati degli utenti.
Anche a livello comunitario le autorità europee si stanno dando un gran da fare in questo senso per affinare le contromisure a questa escalation di attacchi di cyber criminali e per aiutare le aziende a comprendere che l’adeguamento al GDPR è un processo dinamico che necessita di monitoraggio continuo e che non si risolve con un unico adempimento.
I membri della commissione sono al lavoro per dare luce entro fine anno al cosiddetto “Regolamento ePrivacy”, che andrà ad integrare ed ampliare le prescrizioni già presenti nel GDPR.
In cosa consisterà il nuovo regolamento europeo?
Si tratta di una legge speciale che avrà l’obiettivo di completare e rafforzare l’attuale impostazione normativa sulla protezione dei dati.
Si applicherà sia alle persone fisiche che quelle giuridiche per migliorare innanzitutto la sicurezza e la riservatezza delle comunicazioni (compresi i “metadati” come ad esempio il mittente, l’ora e la posizione da cui è partita la comunicazione).
Infine andrà a disciplinare in maniera specifica tutta la materia che riguarda i cookies, a cui è dedicata un’intera sezione del testo su cui stanno lavorando in commissione e che potrebbe essere pubblicata entro il 2023, per poi entrare ufficialmente in vigore nel 2025, così da dare il tempo di comprenderne i meccanismi e predisporsi agli adeguamenti previsti.
Se sei titolare d’azienda potresti sentirti sopraffatto dalle task e dalle mille scartoffie che bisogna produrre, ma con un partner serio ed affidabile diventa tutto più semplice.
La strategia vincente è adoperarsi per valutare insieme ad un professionista la tua situazione complessiva attraverso le fasi che abbiamo visto in precedenza e la prima azione concreta che puoi fare - a costo zero - è sfruttare la consulenza che stiamo mettendo a disposizione degli imprenditori che ancora non conoscono Easy GDPR.
Tutto quello che devi fare è cliccare sul bottone qui sotto per richiedere gratuitamente la tua consulenza preliminare che ci permetterà di analizzare le tue esigenze specifiche.
This Website is not a part of Facebook or Facebook Inc. Additionally, this site is NOT endorsed by Facebook in any way. Facebook is a trademark of Facebook Inc.
Disclaimer: The products and services sold on this web site are not to be interpreted as a promise or guarantee of earnings.
Questo sito non fa parte di Facebook o Facebook Inc. Inoltre, questo sito NON è approvato da Facebook in alcun modo. Facebook è un marchio registrato di Facebook, Inc.
Disclaimer: I prodotti/servizi venduti su questo sito NON costituiscono proiezione, promessa o garanzia di guadagno.