Domande frequenti sul GDPR
Nozioni di base sul GDPR
Che cos’è il GDPR?
Il regolamento generale sulla protezione dei dati (“GDPR”) è la nuova legislazione dell’Unione europea sulla privacy, in vigore dal 25 maggio 2018. Sostituisce la precedente direttiva sulla protezione dei dati 95/46/CE e prevede una più ampia tutela della privacy dei residenti nell’UE.
Quali diritti devono prevedere le aziende ai sensi del GDPR?
Il GDPR conferisce ai residenti nell’UE i seguenti diritti:
- Il diritto di essere informati sulle modalità di utilizzo dei dati personali,
- Il diritto di accesso ai dati personali detenuti da un’organizzazione,
- Il diritto di eliminare o correggere i dati personali non corretti,
- Il diritto di cancellare i dati personali in determinate circostanze (talvolta denominato “diritto all’oblio”),
- Il diritto di limitare il trattamento dei dati personali o di opporsi a tale trattamento,
- Il diritto di limitare o opporsi al trattamento automatico dei dati personali, e
- Il diritto di ricevere una copia dei dati personali.
Come faccio a sapere se i dati che la mia organizzazione sta elaborando rientrano nel GDPR? Che cosa sono i “dati personali”?
Il GDPR disciplina la raccolta, l’archiviazione, l’utilizzo e la condivisione dei “dati personali”. I dati personali sono definiti in modo molto ampio nel GDPR come dati relativi a una persona fisica identificata o identificabile. Non esiste alcuna distinzione tra i ruoli privati, pubblici o lavorativi di una persona. I dati personali possono includere:
Identità
- Indirizzo di casa
- Indirizzo di lavoro
- Numero di telefono
- Numero di cellulare
- Indirizzo e-mail
- Numero di passaporto
- Carta d’identità nazionale
- Numero di previdenza sociale (o equivalente)
- Patente di guida
- Informazioni fisiche, fisiologiche o genetiche
- Informazioni mediche
- Identità culturale
Dati finanziari
- Dati bancari/numeri di conto
- Informazioni fiscali
Artefatti digitali
- Post sui social media
- Indirizzo IP
- Posizione/dati GPS
- Cookie
Inoltre, il trattamento di determinate categorie “speciali” di dati personali, come i dati personali che rivelano l’origine razziale o etnica di una persona, oppure che riguardano la loro salute o il loro orientamento sessuale, è soggetto a norme più severe rispetto al trattamento dei dati personali ordinari.
Chi sono i processor e i controller?
Il “controller” è una persona fisica o giuridica, un’autorità pubblica, un’agenzia o un altro organismo che, da solo o congiuntamente ad altri, determina le finalità e i mezzi del trattamento dei dati personali.
Un “processor” è una persona fisica o giuridica, un’autorità pubblica, un’agenzia o un altro organismo che elabora i dati personali per conto del controller.
Il GDPR si applica sia ai controller che ai processor. I controller devono servirsi solamente di processor che adottano le misure necessarie per soddisfare i requisiti del GDPR. Ai sensi del GDPR, i processor devono far fronte a ulteriori obblighi e responsabilità per la mancata conformità o per agire al di fuori delle istruzioni fornite dal controller.
Cosa si intende con “trattamento”?
Con “trattamento” si intende qualsiasi operazione o insieme di operazioni eseguite su dati personali o su insiemi di dati personali, anche mediante mezzi automatizzati, quali la raccolta, la registrazione, l’organizzazione, la strutturazione, la memorizzazione, l’adattamento o l’alterazione, il recupero, la consultazione, l’uso, la divulgazione mediante trasmissione, la diffusione o la messa a disposizione in altro modo, l’allineamento o la combinazione, la restrizione, la cancellazione o la distruzione.
Sono autorizzato a trasferire dati personali al di fuori dell’UE?
Sì, il trasferimento di dati personali al di fuori dello Spazio economico europeo è consentito purché vengano soddisfatte determinate condizioni per garantire adeguate misure di tutela. Potrebbe essere necessario impostare un meccanismo legale specifico, ad esempio un contratto, o aderire a un meccanismo di certificazione per consentire questi trasferimenti.
Com’è regolamentato il trasferimento di dati personali al di fuori dell’UE?
Il GDPR prevede diversi meccanismi per facilitare il trasferimento di dati personali al di fuori dell’UE. Tali meccanismi sono volti a confermare un livello adeguato di protezione o a garantire l’attuazione di adeguate misure di tutela quando i dati personali vengono trasferiti in un paese terzo. Misure di salvaguardia opportune possono essere previste da clausole contrattuali tipo. Un adeguato livello di protezione può altresì essere confermato da decisioni di adeguatezza, come quella che sostiene lo scudo UE-USA per la privacy.
Qual è la responsabilità di un’organizzazione ai sensi del GDPR in risposta alle violazioni dei dati personali?
Il GDPR impone obblighi precisi ai processor e ai controller in merito alla notifica di violazioni dei dati personali. I data processor devono notificare al data controller una violazione dei dati personali senza ritardi ingiustificati dopo esserne venuti a conoscenza. Dopo essere stato informato della violazione, il controller deve informare l’autorità competente per la protezione dei dati entro 72 ore. Se la violazione rischia di comportare un elevato pericolo per i diritti e le libertà delle persone, i controller dovranno anche informare le persone interessate senza ritardi ingiustificati.
Quanto possono essere multate le aziende in caso di mancata conformità?
Le aziende possono essere multate fino a 20 milioni di euro o per un importo pari al 4% del fatturato globale annuo, a seconda di quale sia la cifra maggiore, per mancata conformità ai requisiti GDPR. Possono essere applicati ulteriori rimedi individuali.
Dove posso ottenere ulteriori informazioni sul GDPR?
Le norme e i regolamenti del GDPR sono disponibili all’indirizzo https://ec.europa.eu/info/law/law-topic/data-protection_en. Inoltre, l’International Association of Privacy Professionals mette a disposizione risorse complete sul GDPR e sulla privacy in generale all’indirizzo https://iapp.org/resources/. JAGGAER consiglia inoltre di controllare regolarmente il sito web dell’autorità nazionale o responsabile della protezione dei dati, a seconda dei casi, per aggiornamenti e indicazioni.
Conformità al GDPR di JAGGAER
Dove posso trovare gli impegni contrattuali di JAGGAER riguardo al GDPR?
I clienti possono trovare gli impegni contrattuali di JAGGAER in relazione al GDPR nell’Appendice sul trattamento dei dati dei clienti, disponibile qui.
In che modo JAGGAER sensibilizza i suoi dipendenti sulla protezione dei dati personali e sulla privacy?
I dipendenti JAGGAER vengono informati dei propri obblighi di protezione dei dati dei clienti al momento dell’assunzione e sono tenuti a firmare un accordo di riservatezza che, tra gli altri obblighi, richiede ai dipendenti di mantenere la riservatezza dei dati dei clienti. Inoltre, JAGGAER conduce una formazione annuale sulla sicurezza e sulla privacy per i propri dipendenti. La formazione sulla sensibilizzazione in materia di GDPR è stata aggiunta come requisito per i nostri dipendenti. I dipendenti JAGGAER sono inoltre tenuti a conoscere e rispettare il Codice di condotta ed etica aziendale di JAGGAER, che si occupa nello specifico delle responsabilità e dei comportamenti previsti in relazione alla protezione dei dati dei clienti.
Su quale base JAGGAER facilita il trasferimento di dati personali al di fuori dell’UE?
In quanto azienda globale con ampie attività all’interno e all’esterno dello Spazio economico europeo, JAGGAER spesso è tenuta a trasferire i dati tra le varie business unit. JAGGAER utilizza da tempo le clausole del modello UE come base per il trasferimento di dati per le sue soluzioni. Le clausole del modello UE sono termini standard forniti dalla Commissione europea che possono essere utilizzati per trasferire i dati al di fuori dello Spazio economico europeo in modo conforme. JAGGAER ha incorporato le clausole del modello UE nella sua Appendice sul trattamento dei dati.
Inoltre, JAGGAER è certificata ai sensi degli Scudi UE-USA e Svizzera-USA per la privacy definiti dal Dipartimento del Commercio degli Stati Uniti per quanto riguarda la raccolta, l’utilizzo, il trattamento e il trasferimento transfrontaliero di dati personali dall’UE e dalla Svizzera agli Stati Uniti, rispettivamente. In base a questi scudi per la privacy, JAGGAER è responsabile del trattamento dei dati personali che riceve e successivamente trasferisce a terzi. JAGGAER è conforme ai principi dello Scudo per la privacy per tutti i trasferimenti successivi di dati personali dall’UE e dalla Svizzera, compreso il trasferimento successivo delle disposizioni in materia di responsabilità. Per ulteriori informazioni su questi Scudi per la privacy e per visualizzare la certificazione JAGGAER, visitare il sito web https://www.privacyshield.gov/welcome.
In che modo un cliente (in qualità di controller dei dati personali ai sensi del GDPR) garantisce che JAGGAER (in qualità di processor dei dati personali ai sensi del GDPR) disponga di adeguate garanzie tecniche e organizzative per proteggere i dati personali del cliente?
Ai sensi del GDPR, i controller e i processor sono tenuti a implementare misure tecniche e organizzative opportune per garantire un livello di sicurezza adeguato al rischio. JAGGAER si impegna ad adottare procedure di sicurezza e misure di protezione complete per tutte le piattaforme e le business unit, progettate per proteggere i dati personali dei clienti da (i) distruzione, perdita o alterazione accidentale o illecita e (ii) divulgazione o accesso non autorizzato. Ai sensi del GDPR, i diritti di audit devono essere concessi ai data controller nei loro contratti con i data processor. L’Appendice sul trattamento dei dati dei clienti di JAGGAER include i diritti di audit a vantaggio dei nostri clienti. Gli standard e le certificazioni di JAGGAER, tra cui le certificazioni International Organization for Standardization (“ISO”) e lo standard Service Organization Controls (SOC) 2 dell’American Institute of Public Accountants (AICPA), possono essere utilizzati dai clienti per condurre le valutazioni dei rischi e per verificare che siano state adottate misure di sicurezza tecniche e organizzative opportune.
Quali sono gli impegni assunti da JAGGAER in materia di protezione dei dati?
Le nostre Appendici sul trattamento dei dati, che sono state aggiornate per garantire la conformità al GDPR, descrivono gli impegni in materia di privacy assunti da JAGGAER nei confronti dei nostri clienti e gli impegni in materia di privacy dei sub-processor che accedono ai dati personali dei nostri clienti. I nostri clienti possono visualizzare e sottoscrivere l’Appendice sul trattamento dei dati di JAGGAER qui. Tutti i dati immessi dal cliente o dai suoi utenti nelle nostre applicazioni software verranno elaborati solo in conformità alle istruzioni del cliente, come descritto nella nostra Appendice sul trattamento dei dati.
In che modo JAGGAER garantisce che i sub-processor incaricati da JAGGAER siano conformi al GDPR, inclusa la disponibilità di adeguate misure di sicurezza tecniche e organizzative per proteggere i dati personali dei clienti?
Sebbene JAGGAER e le sue società affiliate conducano direttamente la maggior parte delle attività di trattamento dei dati necessarie per fornire le applicazioni e i servizi software di JAGGAER, ci avvaliamo di alcuni fornitori di servizi di terze parti per fornire assistenza a supporto delle nostre offerte. Ogni fornitore di servizi affronta un rigoroso processo di selezione per garantire la presenza delle competenze tecniche necessarie e per assicurare che possa fornire il livello adeguato di sicurezza e privacy. I fornitori di servizi che elaborano i dati per conto di JAGGAER sono tenuti a sottoscrivere le Appendici sul trattamento dei dati con JAGGAER per garantire di essere soggetti allo stesso livello di protezione previsto dagli accordi stipulati da JAGGAER con i propri clienti e che siano conformi al GDPR.
Quali sub-processor utilizza JAGGAER?
Un elenco dei fornitori di servizi di JAGGAER che possono elaborare i dati personali forniti dai clienti utilizzando le nostre applicazioni software (“sub-processor”) è disponibile qui. I clienti saranno avvisati di eventuali nuovi sub-processor e avranno l’opportunità di opporsi, come previsto dal GDPR.
In che modo JAGGAER consente ai controller di garantire i diritti dei soggetti interessati?
I clienti possono utilizzare i diritti amministrativi e le funzionalità disponibili nelle applicazioni software di JAGGAER per accedere, modificare, limitare l’elaborazione o eliminare i dati che essi o i loro utenti hanno inserito nelle nostre applicazioni software, ai sensi della conservazione da parte di JAGGAER dei dati degli utenti come richiesto o consentito dalla legge applicabile per finalità di archiviazione o conservazione dei documenti.
Quali impegni contrattuali e operativi si assume JAGGAER per garantire che i clienti vengano tempestivamente informati degli incidenti che coinvolgono i dati personali, in conformità con il GDPR?
In qualità di fornitore originale di soluzioni di gestione delle spese basate su cloud, JAGGAER si è assunta gli impegni nei contratti con i clienti per circa vent’anni in merito alla notifica degli incidenti. JAGGAER gestisce operazioni di sicurezza dei dati che garantiscono un tempo di risposta ottimale nel periodo richiesto dal GDPR.
Quali competenze offre JAGGAER in materia di privacy e protezione dei dati?
JAGGAER impiega professionisti della sicurezza in Europa e negli Stati Uniti, tra cui alcuni dei più importanti esperti al mondo nel campo dell’informazione, delle applicazioni e della sicurezza della rete. Questo team ha il compito di gestire i nostri programmi di sicurezza, sviluppare i processi di revisione della sicurezza, creare un’infrastruttura di sicurezza e implementare le nostre politiche di sicurezza e privacy.
Inoltre, JAGGAER impiega un team per la privacy composto da professionisti esperti sia negli Stati Uniti che in Europa. JAGGAER collabora inoltre con esperti in materia di privacy e conformità in tutto il mondo, tra cui il nostro partner legale per la privacy, K&L Gates LLP, i cui avvocati sono stati consultati dall’UE durante lo sviluppo del regolamento generale sulla protezione dei dati (GDPR), e il nostro partner legale, Baker & McKenzie LLP, regolarmente riconosciuto come studio legale più potente al mondo dall’Acritas Global Elite Law Firm Brand Index. Il nostro team addetto alla privacy e alla conformità ha il compito di gestire i programmi JAGGAER per la privacy e la conformità, implementare le nostre politiche sulla privacy e interagire regolarmente con i clienti per garantire il rispetto delle esigenze di privacy e conformità dei clienti.
Un cliente o un soggetto interessato chi può contattare in caso di domande o per dei commenti sui dati personali conservati da JAGGAER, sul GDPR o sulla privacy in generale?
I clienti e i soggetti interessati possono contattare il team per la privacy dei dati di JAGGAER, con sede in UE e negli Stati Uniti, tramite il portale per le richieste di informazioni sulla privacy dei dati. Inoltre, i clienti e i soggetti interessati possono contattare direttamente il responsabile della protezione dei dati all’indirizzo Privacy@jaggaer.com.