Il tuo software gestionale è conforme al GDPR?

by Alessandro Brocchetta

in Software gestionali

A partire dal 25 maggio 2018 entrerà in vigore, in tutti gli Stati membri, la nuova normativa europea in materia di protezione dei dati personali (General Data Protection Regulation). In questo post un excursus sulla normativa e i passi da seguire per rendere conforme il tuo software gestionale.

Le parole chiave del GDPR

Si definiscono dati personali le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche. Con l’entrata in vigore del GDPR assumono un ruolo significativo i dati:

identificativi: dati anagrafici (nome, cognome,..). Dati contenuti all’interno dei programmi gestionali;
particolari: possono rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale;
giudiziari: possono rivelare l’esistenza di provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato;

Con l’evoluzione delle nuove tecnologie, altri dati personali hanno assunto un ruolo rilevante. Un esempio sono i dati relativi alle comunicazioni elettroniche (via Internet o telefono) e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti.

La presente comunicazione ha lo scopo di tenere informato il cliente sul nuovo Regolamento europeo. Non vuole sostituirsi ai veri esperti in materia. Ci impegneremo a mantenere aggiornata la comunicazione.

Si definisce “trattamento dei dati” qualunque operazione effettuata, anche senza l’ausilio di strumenti elettronici, sui dati. Sono un esempio le azioni di:

raccolta;
registrazione;
organizzazione;
conservazione;
consultazione;
elaborazione;
comunicazione;
cancellazione.

Il Titolare del trattamento (data controller) è colui che “da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali” (direttiva 95/46, art. 2 lett. d), e decide quali categorie di dati personali devono essere registrate (Convenzione 08, art. 2 lett. d). Il Titolare, secondo il principio di accountability (responsabilizzazione e obbligo di rendicontazione) dovrà:

verificare le operazioni svolte sui dati;
verificare che le operazioni siano conformi al GDPR;
attuare le procedure per la protezione dei dati.

Ogni Titolare sarà responsabile dei mezzi, delle operazioni, delle finalità e dovrà essere in grado di dare conto delle valutazioni svolte.

Il Responsabile del trattamento (data processor) è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del Titolare del trattamento.

L’Incaricato del trattamento è la persona fisica autorizzata dal titolare o dal responsabile a compiere azioni di trattamento dei dati.
La presente comunicazione ha lo scopo di tenere informato il cliente sul nuovo Regolamento europeo. Non vuole sostituirsi ai veri esperti in materia. Ci impegneremo a mantenere aggiornata la comunicazione.

Il principio della Privacy by Design, introdotto dal GDPR, richiede alle aziende e alla P.A. un approccio alla protezione dei dati personali proattivo e non più reattivo; rendendo necessario prevedere modalità operative, configurazioni e misure di sicurezza in grado di salvaguardare la riservatezza, l’integrità e la disponibilità dei dati personali (RID) “by default”, ovvero nel momento in cui essi “entrano” nell’organizzazione.

Secondo il nuovo Regolamento Europeo (art. 4, c. 12) per “violazione dei dati personali” (Data Breach) si intende ogni violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

La segnalazione della violazione deve essere effettuata dal Titolare del Trattamento in modo chiaro e specifico (entro 72 ore) e deve riportare la natura della violazione, le circostanze ad essa relative (tracciabilità dei log), le sue probabili conseguenze e i provvedimenti adottati (o che si intendono adottare) per porvi rimedio.

Come rendere conforme il tuo Software gestionale al GDPR

All’interno dei Software gestionali sono contenuti i dati personali identificativi delle persone fisiche. Per questo motivo è necessario verificare che siano presenti le funzionalità di base che rendono il software gestionale conforme alla nuova normativa. In seguito alcune caratteristiche che dovrebbe avere il programma.

accessi al software protetti da “nome utente” e “password”.
password di accesso “sicure”.
viste predisposte in base ai ruoli degli utenti.
Database protetto e anonimo (in caso di comunicazione del DB al servizio di assistenza).
tracciabilità dei log di accesso per eventuali comunicazioni di Data Brach.

Visualizza l‘infografica.

Modulo Sicurezza e Privacy per un gestionale a norma

Utilizzi OndaiQ? Il Modulo “Sicurezza e Privacy” di OndaiQ (dalla v.5.5) e OndaiQ Vision (dalla v.2.4), rende conforme il software gestionale alle regole imposte dalla normativa. In seguito le azioni principali del modulo:

impedisce l’accesso al programma gestionale se l’utente non è in possesso di password;
protegge il Database di configurazione;
lega il Registro dei trattamenti al modulo “Sicurezza e privacy”;
gestisce i permessi e restrizioni degli utenti.

Ulteriore documentazione conforme al GDPR, presente in OndaiQ e OndaiQ Vision, è presente nelle Licenze d’uso e nell’informativa sulla Privacy del programma.