GDPR semplificato: Una guida per la tua piccola impresa
Dai un'occhiata a tutti i contenuti delle piccole imprese su Small Business Help & Learning. (Guide e formazione per le piccole imprese).
Usare Microsoft 365 per le aziende per consentire di mitigare e gestire in conformità al GDPR
Il Regolamento generale sulla protezione dei dati (GDPR) è un regolamento dell’Unione Europea (UE) che indica come un’organizzazione debba gestire i dati personali. Se l'azienda vende a, fornisce servizi o impiega cittadini dell'Unione Europea, il GDPR riguarderà l'utente.
Gli amministratori di piccole imprese probabilmente potranno chiedersi "Come posso iniziare?" Ciò è particolarmente vero se l'azienda non gestisce i dati personali come attività principale o se il GDPR è completamente nuovo per l'utente.
È possibile iniziare esaminando questo articolo, il quale consente di comprendere cos'è il GDPR, perché è stato creato e in che modo Microsoft 365 per le aziende consente all'organizzazione di rispettare il GDPR.
Include anche le risposte alle domande comuni sul GDPR che le piccole imprese potrebbero avere, ed evidenzia le azioni che una piccola azienda può intraprendere per prepararsi al GDPR.
Importante
Le soluzioni e le raccomandazioni di Microsoft 365 in questo articolo sono strumenti e risorse che consentono di gestire e proteggere i dati. Tuttavia, queste non sono una garanzia di conformità al GDPR. Spetta all'utente valutare il proprio stato di conformità. È consigliabile consultare i propri consulenti legali e/o professionisti del settore se necessario.
Una rapida panoramica sul GDPR
Il GDPR è un regolamento dell’UE che aggiorna ed espande la precedente Direttiva sulla Protezione dei Dati (DPD) promulgata per la prima volta nel 1995. Il GDPR riguarda la protezione dei dati di un individuo, sia esso un cliente, un utente, un impiegato o un partner aziendale. L’obiettivo del GDPR è rafforzare la protezione dei dati personali dei cittadini dell’Unione Europea, sia che essi risiedano dentro l’UE, sia che vivano altrove. Il regolamento stabilisce aspettative e informazioni su come conseguirli. Le organizzazioni devono adottare misure che soddisfino i requisiti del GDPR.
Il GDPR è tutto basato sui dati e su come questi vengono usati. Pensa ai dati come se avessero un proprio ciclo di vita. Il ciclo inizia quando tu raccogli i dati, continua quando li conservi e li usi (elaborazione) e finisce quando li elimini completamente dai tuoi sistemi.
Il GDPR riguarda i seguenti tipi di dati:
Dati personali: Se i dati possono essere collegati ad un individuo ed identificarlo, allora quei dati vengono considerati personali rispetto al GDPR. Esempi di dati personali includono nome, indirizzo, data di nascita ed indirizzo IP. Il GDPR considera dati personali addirittura le informazioni cifrate (anche conosciute come informazioni “pseudonimo”), a prescindere da quanto esse siano oscure o tecniche se tali dati possono essere collegati ad una persona.
Dati personali sensibili Si tratta di dati che aggiungono dettagli ai dati personali. Alcuni esempi includono religione, appartenenza ad un sindacato, etnia, eccetera. I dati personali sensibili includono anche i dati biometrici ed il DNA. Con il GDPR, i dati sensibili godono di regole di protezione più stringenti rispetto ai dati personali.
Termini del GDPR
Vedrai alcuni termini di riferimento frequentemente nel GDPR. È importante capire questi termini.
Consenso:
Il GDPR afferma: "Il trattamento dei dati personali dovrebbe essere progettato per servire l'umanità". Il GDPR spera di raggiungere questo obiettivo usando il consenso durante l'elaborazione dei dati personali. Ciò potrebbe essere rappresentato dal semplice atto di chiedere ai clienti se vogliano ricevere messaggi email dalla tua azienda. Ciò significa anche il non utilizzo di caselle di spunta di dissociazione nel tuo sito internet quando vuoi usare i dati per il marketing. È necessario richiedere un consenso esplicito usando un “chiaro atto affermativo”. Sarà inoltre necessario anche conservare le registrazioni di quando il consenso viene concesso o revocato.
Diritti dell'interessato:
Il GDPR stabilisce i diritti del soggetto interessato, ciò significa che, rispetto ai loro dati personali, utenti, impiegati, partner aziendali, clienti, terzisti, studenti, fornitori e così via, hanno il diritto di:
Essere informati sui loro dati: È necessario informare le persone circa l’uso dei loro dati.
Avere accesso ai loro dati: È necessario fornire alle persone accesso a ciascuno dei loro dati conservati (ad esempio, usando l’accesso al profilo o con qualche metodo manuale).
Richiedere la rettifica dei dati: Le persone possono richiedere la correzione dei dati imprecisi.
Richiedere la cancellazione dei dati: Conosciuto anche come 'diritto alla cancellazione', questo diritto consente ad una persona di richiedere che ognuno dei propri dati personali raccolti dalla compagnia venga cancellato da tutti i sistemi che li abbiano usati o condivisi.
Richiedere l’elaborazione limitata: Una persona può richiedere che vengano nascosti o limitati i propri dati. Tuttavia, questo è applicabile solo in presenza di determinate circostanze.
Avere la portabilità dei dati: Una persona può richiedere di trasferire i propri dati ad un’altra compagnia.
Opposizione: Una persona può opporsi all’utilizzo dei propri dati per vari scopi, incluso il marketing diretto.
Richiedere di non essere soggetto ai processi decisionali automatizzati, inclusa la profilazione: Il GDPR ha regole stringenti sull’uso dei dati per la profilazione delle persone e sulle decisioni automatizzate basate su quelle profilazioni.
Passaggi per prepararsi al GDPR
Questa sezione descrive i passaggi che una piccola azienda può intraprendere per prepararsi al GDPR. Gran parte delle informazioni su questi passaggi è stata fornita in Sette passaggi per le aziende per prepararsi al Regolamento generale sulla protezione dei dati, una pubblicazione fornita dall'Ufficio delle pubblicazioni dell'Unione Europea.
Per una piccola impresa, un buon modo per iniziare con il GDPR è assicurarsi di applicare i seguenti principi chiave durante la raccolta dei dati personali:
- Bisogna raccogliere i dati personali con scopi chiaramente definiti per le finalità per cui vengono usati, e non usarli per altri scopi. Ad esempio, se si indica ai clienti di fornire gli indirizzi di posta elettronica in modo che possano ottenere nuove offerte o promozioni, è possibile usare i loro indirizzi di posta elettronica solo per tale scopo specifico.
- Non raccogliere più dati del necessario. Ad esempio, se l'azienda richiede un indirizzo postale per la consegna della merce, saranno necessari l'indirizzo e il nome del cliente, pertanto non sarà necessario conoscere lo stato civile della persona.
Passaggio 1: conoscere i dati personali raccolti e usati all'interno dell'azienda e i motivi per cui sono necessari
In quanto piccole imprese, uno dei primi passaggi da eseguire consiste nel fare un inventario dei dati personali raccolti e usati all'interno dell'azienda e nel motivo per cui sono necessari. Sono inclusi i dati relativi ai dipendenti e ai clienti.
Ad esempio, potrebbero essere necessari i dati personali del dipendente in base al contratto di lavoro e per motivi legali (ad esempio, per la segnalazione delle imposte all'Agenzia delle Entrate).
È anche possibile gestire elenchi di singoli clienti per inviare loro comunicazioni sulle offerte speciali, se questi hanno dato il loro consenso.
Funzionalità di Microsoft 365 utili nel passaggio 1
Microsoft Purview Information Protection consente di individuare, classificare e proteggere le informazioni riservate nell'azienda. È possibile usare classificatori sottoponibili a training per identificare ed etichettare i tipi di documento contenenti dati personali.
Passaggio 2: informare i clienti, i dipendenti e gli altri utenti quando è necessario raccogliere i dati personali
Gli utenti devono sapere i motivi per cui i propri dati personali vengono trattati e per quale scopo. Ad esempio, se un cliente deve creare un profilo per accedere al sito online dell'azienda, bisogna assicurarsi di indicare in modo specifico cosa si intende fare con le relative informazioni.
Tuttavia, non è necessario informare gli utenti quando sono già a conoscenza di come verranno usati i dati. Ad esempio, quando forniscono un indirizzo di casa per una consegna.
È anche necessario informare i singoli utenti sulle richieste di dati personali in possesso e concedere loro l'accesso ai propri dati. L'organizzazione con i dati semplifica la loro distribuzione.
Passaggio 3: conservare i dati personali solo per il tempo necessario
Per i dati dei dipendenti conservarli per tutta la durata del rapporto di lavoro e per i relativi obblighi di legge. Per i dati del cliente, conservarli per tutta la durata del rapporto con il cliente e per i relativi obblighi di legge (ad esempio, per finalità fiscali). Eliminare i dati quando non sono più necessari per le finalità per cui sono stati raccolti.
Funzionalità di Microsoft 365 utili nel passaggio 3
I criteri di conservazione e le etichette possono essere usati per mantenere i dati personali per un determinato periodo di tempo ed eliminarli quando non sono più necessari.
Passaggio 4: proteggere i dati personali trattati
Se si archiviano dati personali in un sistema IT, è necessario limitare l'accesso ai file contenenti i dati, ad esempio con una password complessa. Aggiornare regolarmente le impostazioni di sicurezza del sistema.
Nota
Il GDPR non prevede l'uso di un sistema IT specifico, ma bisogna garantire che il sistema abbia il livello di sicurezza appropriato. Per altre informazioni, vedere Art. 32 GDPR: Sicurezza del trattamento.
Se si archiviano documenti fisici con dati personali, assicurarsi che non siano accessibili da persone non autorizzate.
Se si sceglie di archiviare i dati personali nel cloud, ad esempio tramite Microsoft 365, sono disponibili funzionalità di sicurezza, come la possibilità di gestire le autorizzazioni per file e cartelle, posizioni sicure centralizzate per salvare i file (raccolte documenti di OneDrive o SharePoint) e la crittografia dei dati durante l'invio o il recupero dei file.
Funzionalità di Microsoft 365 utili nel passaggio 4
È possibile usare le Funzionalità di conformità della configurazione per proteggere le informazioni sensibili dell'azienda. Compliance Manager consente di iniziare subito. Ad esempio, è possibile creare e distribuire criteri di prevenzione della perdita di dati che usano il modello GDPR.
Passaggio 5: mantenere la documentazione sulle attività di trattamento dei dati
Preparare un breve documento che spiega quali dati personali si conservano e per quali motivi. Se necessario, potrebbe essere necessario rendere disponibile la documentazione all'autorità nazionale per la protezione dei dati.
Tali documenti devono includere le informazioni elencate di seguito.
| Informazioni | Esempi |
|---|---|
| Lo scopo del trattamento dei dati | Avvertire i clienti su offerte speciali come la consegna a domicilio; il pagamento dei fornitori, la copertura salariale e la previdenza sociale dei dipendenti |
| Tipi di dati personali | Dati di contatto dei clienti, recapiti dei fornitori, dati dei dipendenti |
| Categorie degli interessati in oggetto | Dipendenti, clienti, fornitori |
| Categorie di destinatari | Autorità del lavoro, autorità fiscali |
| Periodi di conservazione | Dati anagrafici dei dipendenti fino al termine del contratto di lavoro (e relativi obblighi di legge), i dati personali dei clienti fino alla fine del rapporto cliente/contrattuale |
| Misure di sicurezza tecniche e organizzative per proteggere i dati personali | Soluzioni di sistema IT regolarmente aggiornate, posizione sicura, controllo di accesso, crittografia dei dati, backup dei dati |
| Se i dati personali vengono trasferiti a destinatari al di fuori dell'Unione Europea | Utilizzo di un responsabile del trattamento al di fuori dell'UE (ad esempio, l'archiviazione nel cloud), ubicazione dei dati del responsabile del trattamento, impegni contrattuali |
È possibile consultare gli impegni contrattuali di Microsoft in relazione al GDPR nel Addendum relativo alla Protezione dei Dati Personali dei Servizi Online, che fornisce informazioni relative agli impegni sulla privacy e sulla sicurezza di Microsoft, i termini di trattamento dei dati e i termini GDPR per i servizi ospitati da Microsoft a cui i clienti si abbonano con contratti multilicenza.
Passaggio 6: assicurarsi che i subappaltatori rispettino le regole
Se il trattamento dei dati personali viene subappaltato a un'altra società, è necessario usare solo un fornitore di servizi che garantisca il trattamento in conformità con i requisiti del GDPR (ad esempio, le misure di sicurezza).
Passaggio 7: assegna a qualcuno la supervisione della protezione dei dati personali
Per proteggere meglio i dati personali, le organizzazioni dovrebbero designare un responsabile della protezione dei dati (DPO). Tuttavia, potrebbe non essere necessario designare un responsabile della protezione dei dati se il trattamento dei dati non è una parte essenziale dell'azienda o se si tratta di una piccola azienda. Ad esempio, se l'azienda raccoglie solo dati sui clienti per le consegne, non è necessario designare un responsabile della protezione dei dati. Anche se fosse necessario un responsabile della protezione dei dati, questi compiti potrebbero essere assegnati a un dipendente già in essere in aggiunta ad altre attività. In alternativa, è possibile scegliere di assumere un consulente esterno per questo compito in base alle esigenze.
In genere, non è necessario eseguire una valutazione d'impatto sulla protezione dei dati. Questa opzione è riservata alle aziende che presentano maggiori risch per i dati personali( ad esempio, se eseguono un monitoraggio su larga scala di un'area accessibile al pubblico, come la videosorveglianza).
Per le piccole imprese che gestiscono solo gli stipendi dei dipendenti e un elenco di clienti, in genere non è necessario eseguire una valutazione d'impatto sulla protezione dei dati.
Domande comuni delle piccole imprese sul GDPR
Sono un’impresa individuale - mi devo realmente preoccupare del GDPR?
Il GDPR riguarda i dati elaborati, non il numero di impiegati che si hanno. Riguarda le imprese di tutti i tipi, anche quelle individuali. Comunque, le imprese con meno di 250 impiegati godono di alcune esenzioni, come i ridotti archivi di custodia, ma solo se si è certi che l’elaborazione dei dati sia occasionale e non riguardi i diritti della persona.
Ad esempio, l’elaborazione dei dati non personali potrebbe essere esente o soggetta a misure ridotte. Comunque, l’elaborazione di ogni dato considerato "dato sensibile di categoria speciale", anche se occasionale, va registrata. La definizione di “elaborazione occasionale” è vaga, ma si applica a dati che sono usati una volta o raramente.
Bisogna anche assicurarsi che i dati personali raccolti siano protetti. Questo significa che bisogna crittografarli ed assicurarsi che vi si abbia un accesso controllato, usando quantomeno una password. Custodire i dai dei clienti su un foglio di calcolo sul proprio desktop senza alcuna protezione non soddisfa le aspettative del GDPR.
Come stabilire se il proprio sito internet aziendale è conforme al GDPR?
La prima domanda da porsi è: Si raccolgono dati personali ovunque sul proprio sito? Per esempio, si potrebbe avere un modulo di contatto che richieda nome ed indirizzo email. Se si desidera inviare email di marketing, bisogna assicurarsi di aggiungere una casella di spunta ‘opt-in’ che spieghi esattamente per che cosa verranno usati i dati. Solo se il destinatario spunta quella casella sarà possibile usare i dati personali per fini di marketing.
Bisogna inoltre verificare che il database che conserva i dati sia protetto. La compagnia di hosting od il fornitore dello spazio cloud utilizzati saranno in grado di offrire supporto sull’argomento. Per chi usa Microsoft 365 per le aziende, l’archiviazione dei dati è conforme al GDPR.
La mia compagnia è fuori dall’Europa. Il GDPR ci riguarda?
Il GDPR è un regolamento che protegge i cittadini dell’UE. Se la compagnia tratta adesso con cittadini UE, o spera di farlo in futuro, allora il GDPR la riguarda. Si applica sia ai cittadini che vivono in uno Stato UE che a quelli che vivono altrove.
Si prendano in considerazione gli esempi di seguito:
Una compagnia statunitense che noleggia automobili a cittadini dell’UE dovrà soddisfare i requisiti del GDPR quando raccoglierà e processerà i dati dei clienti. Alla compagnia sarà richiesto di ottenere il consenso per la raccolta dei dati dei clienti garantendo che i dati vengano conservati in maniera sicura. Sarà inoltre necessario che ai clienti venga garantito il rispetto di tutti i diritti del soggetto interessato.
Una compagnia australiana vende prodotti online ed i suoi utenti configurano profili online. Il consenso ed il diritto del soggetto interessato del GDPR verranno applicati ai cittadini UE che aprono un profilo. Sarà inoltre necessario che ai clienti la compagnia garantisca il rispetto di tutti i loro diritti come soggetti interessati.
Un’organizzazione benefica internazionale raccoglie dati sui donatori e li usa per inviare aggiornamenti e richieste di donazioni. Il GDPR afferma: "... il trattamento dei dati personali a scopo di marketing diretto può essere considerato effettuato per un legittimo interesse." Tuttavia, l'organizzazione ha la responsabilità di dimostrare che i propri interessi sostituiscono quelli dell'interessato. La compagnia (o, in questo caso, l’organizzazione benefica) dovrebbe sempre ottenere un consenso informato, esplicito, opt-in.
Il GDPR si applica anche se i dati del cliente si muovono oltre i confini. Se si utilizza il cloud per la conservazione dei dati, sarà necessario assicurarsi che il servizio sia completamente conforme al GDPR. Questo può risultare complicato se la conservazione dei dati è situata in località con risultati scarsi nella protezione dei dati. L’uso di Microsoft 365 per le aziende, fornisce la corretta documentazione legale atta a soddisfare i requisiti imposti dal GDPR.
Io raccolgo i dati, ma altre compagnie li conservano. Questo mi toglie dai guai?
Secondo il GDPR, chi raccoglie dati è coinvolto parzialmente. Il GDPR contempla i concetti di responsabile del trattamento dei dati e di titolare del trattamento dei dati:
Titolare del trattamento dei dati: Una persona o una organizzazione (il controllo può anche essere condiviso) che decide come, cosa e perché i dati vengono raccolti. Ci si può avvalere anche dei servizi cloud di un’altra compagnia per la conservazione. Per esempio, un sito web che raccoglie i dati dei clienti è un titolare del trattamento dei dati.
Responsabile del trattamento dei dati: Una persona o una organizzazione che conserva i dati per conto di un responsabile e li processa su richiesta. Per esempio, la conservazione dei dati di Microsoft 365 Apps per le aziende agisce come responsabile del trattamento dei dati ed è pienamente conforme al GDPR.
Un organizzazione o sistema può agire sia come titolare che come responsabile del trattamento dei dati. Microsoft 365 per le aziende può svolgere entrambe le funzioni in conformità al GDPR.
È possibile inviare email di marketing ai vecchi clienti?
Bisogna assicurarsi che i clienti, anche quelli che si hanno da più tempo, abbiano acconsentito all’uso dei loro dati per fini di marketing. Il consenso potrebbe essere stato acquisito in precedenza, così come la relativa registrazione per dimostrarlo. In tal caso, è tutto in regola per proseguire il marketing. In caso contrario, servirà ottenere il permesso dai clienti per proseguire il marketing con loro. Questo di solito comporta l’invio di una email che richieda ai clienti di recarsi presso il proprio sito internet e selezionare un’opzione che consenta di ricevere le email successive.
Bisogna preoccuparsi del GDPR in fase di assunzione di nuovi impiegati? E per quanto riguarda gli attuali impiegati?
Il GDPR non riguarda solo i dati dei clienti, ma anche quelli degli impiegati. Le nuove assunzioni sono spesso stabilite usando le piattaforme dei social media come LinkedIn. Bisogna assicurarsi di non conservare nessun dato dei potenziali assunti senza il loro espresso consenso.
Come per gli impiegati già presenti così per i contratti dei nuovi impiegati, una firma alla fine del contratto non assume il significato di consenso, specialmente quando una clausola non affermativa è usata nel contratto. In questo caso, è necessario acquisire il consenso in una maniera esplicita associata alla clausola. Cosa ciò significhi dipende dal contratto dell’impiegato, ma, in alcuni casi, è possibile usare “l’interesse legittimo” ed aggiungere un avviso all’elaborazione dei dati per assicurarsi che i propri impiegati siano consapevoli riguardo a come verranno utilizzati i loro dati.
Soddisfare gli interessi della protezione dei dati usando Microsoft 365 per le aziende
Essere conformi al GDPR significa assicurarsi che i dati personali siano protetti. Il GDPR contiene un concetto conosciuto come Protezione dei dati fin dalla progettazione e per impostazione predefinita. Questo significa che la protezione dei dati dovrebbe essere “integrata” al sistema e al prodotto così che la soddisfazione degli interessi della protezione avvenga naturalmente.
Così come i loro rivali più grossi, anche le piccole imprese hanno bisogno di comodità senza sacrificare la sicurezza. Microsoft 365 per le aziende è progettato per aziende con meno di 300 impiegati. Le piccole imprese possono usare gli strumenti Microsoft basati sul cloud per migliorare la produttività aziendale. Con Microsoft 365 per le aziende, una piccola impresa può gestire email, documenti e addirittura riunioni ed eventi. È anche dotato di misure di sicurezza e di gestione dei dispositivi integrate che sono vitali per la conformità al GDPR.
Microsoft 365 per le aziende può aiutarti con il GDPR nei seguenti modi:
Scoperta: Un passo importante verso la conformità al GDPR è rappresentato dal sapere di quali dati si è in possesso.
Gestione: Controllare l’accesso ai dati e gestirne l’uso è parte integrante del GDPR. Microsoft 365 per le aziende protegge i dati aziendali basati sulle normative che si desidera applicare ai dispositivi. La gestione dei dispositivi è vitale in un’epoca dove gli impiegati lavorano da remoto. Microsoft 365 per le aziende include funzionalità per la gestione dei dispositivi che assicurano la protezione dei dati attraverso tutti i dispositivi. Per esempio, è possibile specificare che tutti i dispositivi Windows 10 in azienda siano protetti con Windows Defender.
Proteggere: Microsoft 365 per le aziende è progettato per la sicurezza. I suoi controlli sulla gestione dei dispositivi e la protezione dei dati lavorano attraverso la tua rete aziendale, includendo i dispositivi remoti, per aiutarti a mantenere i dati al sicuro. Microsoft 365 for business offre controlli come le impostazioni di privacy nelle app per la produttività di Microsoft 365 e la crittografia dei documenti. Con Microsoft 365 per le aziende, è possibile agire in conformità al GDPR assicurandosi di avere il giusto livello di protezione.
Report: Il GDPR pone molta enfasi sulla rendicontazione. Anche un’azienda con un singolo dipendente, se processa grosse quantità di dati, è tenuta a documentare e rendicontare le proprie procedure. Microsoft 365 per le imprese toglie il mal di testa riguardo ai requisiti di rendicontazione per le piccole organizzazioni.
Strumenti come i registri di controllo consentono di tracciare e rendicontare i movimenti dei dati. Le rendicontazioni includono la classificazione dei dati raccolti e conservati e l’utilizzo ed il trasferimento di tali dati.
Utenti, impiegati e clienti sono diventati più consapevoli circa l’importanza della protezione dei dati e si aspettano adesso che una compagnia o organizzazione rispetti questa protezione. Microsoft 365 per le aziende fornisce gli strumenti per raggiungere e mantenere la conformità al GDPR senza grossi cambiamenti per l’azienda.
Passaggi successivi
Per essere pronti al GDPR qui di seguito ci sono alcuni suggerimenti sui passaggi successivi da compiere:
Valuta il tuo programma GDPR con le Liste di controllo di preparazione alla responsabilità.
Studia Microsoft 365 per le aziende come soluzione per raggiungere e mantenere la conformità al GDPR.
Importante
Ottieni informazioni legali appropriate per la tua compagnia o organizzazione.
Risorse aggiuntive
Microsoft Trust Center panoramica del GDPR
Il Blog Ufficiale Microsoft: Impegno di Microsoft per il GDPR
Siti della Commissione Europea:
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per