GDPR
Che cos'è il GDPR?
Il nuovo Regolamento generale sulla protezione dei dati (GDPR), entrato in vigore nel maggio 2016 e applicabile dal maggio 2018, disciplina il trattamento dei dati personali e la libera circolazione di tali dati. Il GDPR è un regolamento direttamente applicabile, che non richiede norme interne di recepimento o, nella maggior parte dei casi, norme di attuazione o applicazione.
Chi è interessato?
Il provvedimento interessa le aziende con sede nell'UE e qualsiasi altra azienda che disponga di dati che identificano persone fisiche nell'UE, anche se non ha uffici o server nell'area. Si applica anche alle organizzazioni che finora hanno trattato dati di persone nella regione e sono soggette alla regolamentazione di Paesi terzi.
Quali sono i principali cambiamenti?
Con il GDPR, il consenso dell'interessato (la persona fisica che identifica i dati personali) deve essere validamente ed espressamente ottenuto (non è più valido farlo tacitamente, il metodo noto anche come opt-out). Anche le modalità di ottenimento del consenso sono regolamentate, definendo quali informazioni devono essere fornite all'interessato (ad esempio, ora devono essere fornite informazioni sul periodo di conservazione) e in quale forma (concisa, semplice, trasparente, comprensibile e facilmente accessibile). Aggiunge inoltre nuovi diritti dell'interessato ai diritti ARCO (accesso, rettifica, cancellazione e opposizione), come il diritto all'oblio e il diritto alla portabilità. Le categorie di dati che vengono trattate, il tipo di trattamento e da chi, devono essere informazioni trasparenti, migliorando così la capacità decisionale dell'interessato e il controllo sui dati personali che affida a terzi. Esistono anche requisiti sulla notifica delle violazioni della sicurezza dei dati, tra cui un periodo massimo di 72 ore per la notifica all'Agenzia per la protezione dei dati. Anche il regime sanzionatorio è stato inasprito, con multe massime fino a 20 milioni di euro o al 4% del fatturato globale annuo.
Posso ottenere il consenso dei miei clienti con Evicertia?
SÌ. Con i nostri servizi di firma elettronica certificata (eviSign) potrete gestire in modo molto semplice e veloce l'intero processo di consenso, potendo inviare un mailing di massa al vostro database di clienti o automatizzarlo in tempo reale (ad esempio in ogni registrazione integrata da WebServices), e l'interessato avrà l'accettazione con un semplice clic. Avrete a disposizione un potente strumento di gestione per tracciare, ricercare facilmente (per nome, e-mail, telefono, ecc.) e sapere in tempo reale, chi ha accettato o meno di trattare i propri dati personali. Inoltre, avrete una prova legalmente valida e priva di rischi, ormai necessaria. Pensate che se lo fate sul vostro sito web con un modulo o semplicemente via e-mail scambiandovi documenti scannerizzati, sarà più difficile dimostrare che non avete alterato le registrazioni o i documenti che contengono questo consenso (dato che chiunque può modificarli), se un cliente, a torto o a ragione, vi fa causa per trattamento non autorizzato dei suoi dati.
Come influisce sui servizi forniti da EVICERTIA?
Evicertia fornisce servizi fiduciari e pertanto tratta dati personali (ad esempio, l'indirizzo e-mail al quale inviamo una comunicazione certificata, come la notifica di una modifica dei termini di un contratto). Il nostro obiettivo è fornire fiducia e sicurezza, quindi questa è una buona notizia per noi, in quanto il GDPR fornisce sicurezza, fiducia e dà valore ai nostri principi e servizi. Il GDPR prevede il rispetto di determinate misure di sicurezza, ma queste misure sono state rispettate fin dalla nascita dei servizi forniti da Evicertia, in quanto ci impegniamo a garantire la sicurezza per progettazione. Sebbene il GDPR richieda solo in alcuni casi (ad esempio per le aziende con più di 250 dipendenti) l'obbligo di effettuare una valutazione d'impatto (un'analisi dei rischi), in Evicertia effettuiamo comunque questa valutazione d'impatto. Tale valutazione fa infatti parte del nostro Sistema di gestione della sicurezza delle informazioni, che è certificato ISO 27001 e utilizza i controlli definiti nella norma ISO 27002. Se gli utenti dei servizi di certificazione di Evicertia trattano dati personali di altri soggetti (ad esempio, indirizzi e-mail, numeri di telefono o il contenuto stesso da certificare di una e-mail certificata inviata da Evicertia), sono considerati subappaltatori del trattamento dei dati a Evicertia. In questo scenario, il GDPR stabilisce gli obblighi di ciascuna parte, definendo le figure e le responsabilità del Titolare e del Responsabile del trattamento. Questo rapporto deve essere regolato da un contratto formale, che deve prevedere alcuni aspetti obbligatori.
Chi è il controllore e il processore?
L'utente CLIENTE di Evicertia (mittente delle comunicazioni o autore dei documenti da firmare) agisce in qualità di Titolare del trattamento, in quanto è colui che intrattiene il rapporto con il destinatario della comunicazione o del documento contenente dati personali. Quando a Evicertia viene affidato un servizio (la certificazione di un'email o di una firma), Evicertia diventa Titolare del trattamento. Pertanto, è il Titolare del trattamento che deve ottenere il consenso dell'Interessato, nonché definire la categoria di dati personali da trattare e la finalità del trattamento di tali dati (nell'esempio, l'utilizzo della posta elettronica per comunicare le modifiche delle condizioni di un contratto). Evicertia agisce su istruzioni del Titolare del trattamento, deve adottare le misure di sicurezza definite dal Regolamento e non può utilizzare i dati personali per finalità diverse da quelle stabilite dal Titolare.
Vicertia collabora con altri Responsabili del trattamento?
SÌ. Ad esempio, per fornire assistenza agli utenti, collaboriamo con un'azienda che risponde al telefono, e quindi anche l'azienda che prende nota dei dati di contatto (quando si tratta di un incidente) diventa un elaboratore di dati personali. Per comunicare con i nostri clienti o per esportare un report su un foglio di calcolo, utilizziamo G-Suite di Google (la versione business di GMail) e pertanto affidiamo a Google il trattamento di alcuni dati personali. Per l'invio di SMS utilizziamo operatori di telecomunicazioni, che variano a seconda della destinazione dell'SMS. Questi partner di EVICERTIA sono quelli che noi chiamiamo subprocessori.
Posso avere un elenco dei subgestori?
Se siete un Titolare del trattamento, che commissiona servizi a Evicertia, potete richiedere l'elenco dei Sub-responsabili del trattamento. A tal fine, creare una richiesta all'indirizzo: https://support.evicertia.com. Inoltre, nella richiesta potete indicare che desiderate iscrivervi all'elenco di distribuzione dei Subprocessori, in modo da essere avvisati in caso di modifiche. Se sei una persona fisica i cui dati sono trattati da Evicertia, anche se ci occuperemo di te su https://support.evicertia.com, siamo obbligati a inoltrare la tua richiesta al Titolare del trattamento (il nostro CLIENTE), che è colui che raccoglie i tuoi dati, deve occuparsi dei tuoi diritti e deve darci le istruzioni.
Elenco dei subcommissari:
-
AD LOPEZ Y ASOCIADOS ASESORES
-
AMAZON WEB SERVICES
-
ANYWAYBAC
-
BACKBLAZE, INC
-
CENTRO DE NEGOCIOS G-88, S.L
-
CLX - SINCH UK LTD
-
COOKIEBOT
-
DMARCIAN
-
EVICERTIA CENTROAMÉRICA Y CARIBE SOCIEDAD ANÓNIMA
-
EVICERTIA DEL ECUADOR CIA. LTDA.
-
FRESBE IBERIA, SL
-
GOOGLE IRELAND LIMITED
-
HUBSPOT IRELAND LTD
-
INFOBIP LTD UK
-
INTERXION ESPAÑA S.L.U.
-
JIRA-ATLASSIAN PTY LTD
-
MAILGUN TECHNOLOGIES, INC
-
MASMOVIL - XTRA TELECOM S.A.U - GIGAS HOSTING, S.A.
-
MICROSOFT IRELAND OPERATIONS
-
MOBBEEL
-
MRW (LONGITUD 3M, S.L.)
-
NEXMO / VONAGE
-
NOTARIA DON FRANCISCO CALDERÓN ÁLVAREZ
-
NRS - NET REAL SOLUTIONS S.L.
-
ODOO
-
PAYPAL
-
SOCIEDAD ESTATAL CORREOS Y TELÉGRAFOS, S.A.
-
TWILIO
-
UANATACA, S.A.