Il tuo software gestionale è conforme al GDPR?

04 Mag 2018

A partire dal 25 maggio 2018 entrerà in vigore, in tutti gli Stati membri, la nuova normativa in materia di protezione dei dati personali (General Data Protection Regulation). In questo post un excursus sulla normativa e i passi da seguire per rendere conforme il tuo software gestionale.

gestionale azienda

Le parole chiave del GDPR

Si definiscono dati personali le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche. Con l’entrata in vigore del GDPR assumono un ruolo significativo i dati:

  • identificativi: dati anagrafici (nome, cognome,..). Dati contenuti all’interno dei programmi gestionali;
  • particolari: possono rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale;
  • giudiziari: possono rivelare l’esistenza di provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato;

Con l’evoluzione delle nuove tecnologie, altri dati personali hanno assunto un ruolo rilevante. Un esempio sono i dati relativi alle comunicazioni elettroniche (via Internet o telefono) e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti.

La presente comunicazione ha lo scopo di tenere informato il cliente sul nuovo Regolamento europeo. Non vuole sostituirsi ai veri esperti in materia. Ci impegneremo a mantenere aggiornata la comunicazione.

Si definisce “trattamento dei dati” qualunque operazione effettuata, anche senza l’ausilio di strumenti elettronici, sui dati. Sono un esempio le azioni di:

  • raccolta;
  • registrazione;
  • organizzazione;
  • conservazione;
  • consultazione;
  • elaborazione;
  • comunicazione;
  • cancellazione.

La presente comunicazione ha lo scopo di tenere informato il cliente sul nuovo Regolamento europeo. Non vuole sostituirsi ai veri esperti in materia. Ci impegneremo a mantenere aggiornata la comunicazione.

Il Titolare del trattamento (data controller) è colui che “da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali” (direttiva 95/46, art. 2 lett. d), e decide quali categorie di dati personali devono essere registrate (Convenzione 08, art. 2 lett. d). Il Titolare, secondo il principio di accountability (responsabilizzazione e obbligo di rendicontazione) dovrà:

  • verificare le operazioni svolte sui dati;
  • verificare che le operazioni siano conformi al GDPR;
  • attuare le procedure per la protezione dei dati.

Ogni Titolare sarà responsabile dei mezzi, delle operazioni, delle finalità e dovrà essere in grado di dare conto delle valutazioni svolte.

La presente comunicazione ha lo scopo di tenere informato il cliente sul nuovo Regolamento europeo. Non vuole sostituirsi ai veri esperti in materia. Ci impegneremo a mantenere aggiornata la comunicazione.

Il Responsabile del trattamento (data processor) è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del Titolare del trattamento.

La presente comunicazione ha lo scopo di tenere informato il cliente sul nuovo Regolamento europeo. Non vuole sostituirsi ai veri esperti in materia. Ci impegneremo a mantenere aggiornata la comunicazione.

L’Incaricato del trattamento è la persona fisica autorizzata dal titolare o dal responsabile a compiere azioni di trattamento dei dati.
La presente comunicazione ha lo scopo di tenere informato il cliente sul nuovo Regolamento europeo. Non vuole sostituirsi ai veri esperti in materia. Ci impegneremo a mantenere aggiornata la comunicazione.

La presente comunicazione ha lo scopo di tenere informato il cliente sul nuovo Regolamento europeo. Non vuole sostituirsi ai veri esperti in materia. Ci impegneremo a mantenere aggiornata la comunicazione.

Il principio della Privacy by Design, introdotto dal GDPR, richiede alle aziende e alla P.A. un approccio alla protezione dei dati personali proattivo e non più reattivo; rendendo necessario prevedere modalità operative, configurazioni e misure di sicurezza in grado di salvaguardare la riservatezza, l’integrità e la disponibilità dei dati personali (RID) “by default”, ovvero nel momento in cui essi “entrano” nell’organizzazione.

La presente comunicazione ha lo scopo di tenere informato il cliente sul nuovo Regolamento europeo. Non vuole sostituirsi ai veri esperti in materia. Ci impegneremo a mantenere aggiornata la comunicazione.

Secondo il nuovo Regolamento Europeo (art. 4, c. 12) per “violazione dei dati personali” (Data Breach) si intende ogni violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

La segnalazione della violazione deve essere effettuata dal Titolare del Trattamento in modo chiaro e specifico (entro 72 ore) e deve riportare la natura della violazione, le circostanze ad essa relative (tracciabilità dei log), le sue probabili conseguenze e i provvedimenti adottati (o che si intendono adottare) per porvi rimedio.

La presente comunicazione ha lo scopo di tenere informato il cliente sul nuovo Regolamento europeo. Non vuole sostituirsi ai veri esperti in materia. Ci impegneremo a mantenere aggiornata la comunicazione.

Come rendere conforme il tuo Software gestionale al GDPR

All’interno dei Software gestionali sono contenuti i dati personali identificativi delle persone fisiche. Per questo motivo è necessario verificare che siano presenti le funzionalità di base che rendono il software gestionale conforme alla nuova normativa. In seguito alcune caratteristiche che dovrebbe avere il programma.

  1. accessi al software protetti da “nome utente” e “password”.
  2. password di accesso “sicure”.
  3. viste predisposte in base ai ruoli degli utenti.
  4. Database protetto e anonimo (in caso di comunicazione del DB al servizio di assistenza).
  5. tracciabilità dei log di accesso per eventuali comunicazioni di Data Brach.

Visualizza l‘infografica.

Modulo Sicurezza e Privacy per un gestionale a norma

Utilizzi OndaiQ? Il Modulo “Sicurezza e Privacy” di OndaiQ (dalla v.5.5) e OndaiQ Vision (dalla v.2.4), rende conforme il software gestionale alle regole imposte dalla normativa. In seguito le azioni principali del modulo:

  • impedisce l’accesso al programma gestionale se l’utente non è in possesso di password.
  • protegge le API Info;
  • lega il Registro dei trattamenti al modulo “Sicurezza e privacy” .
  • gestisce gli accessi degli utenti (gestione dei log).

Ulteriore documentazione conforme al GDPR, presente in OndaiQ e OndaiQ Vision, è presente nelle Licenze d’uso e nell’informativa sulla Privacy del programma.

Il tuo software gestionale è conforme al GDPR? Le conclusioni

Con l’avvento del GDPR il trattamento dei dati personali richiede maggiori tutele e verifiche. In questo post ho illustrato i passi che puoi seguire per rendere il tuo Software gestionale conforme alle nuove regole in tema di privacy. Ora tocca a te. Come gestisci i dati personali identificativi nel tuo programma gestionale? Lasciami la tua opinione nei commenti.

Fonti: Garante per la protezione dei dati personali , Euro PrivacyProtezione dati personaliAgenda digitale


Alessandro Brocchetta

Assistenza software Area Software Gestionali OndaiQ e OceanoiQ presso Atc Service Srl.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Leggi articolo precedente:
Come gestire il magazzino con OndaiQ
Come gestire il magazzino con OndaiQ

Il magazzino da semplice deposito merci è diventato un intermediario tra gli acquisti dell’impresa, i processi di trasformazione e quelli...

Chiudi