Vanderbilt Industries are committed to full compliance with the European General Data Protection Regulations as introduced in May 2018.

Sommario

Le soluzioni e i prodotti Vanderbilt consentono ai clienti di gestire e trattare i dati personali in modo compatibile con i requisiti GDPR. Questa guida nasce con lo scopo di aiutare e supportare i nostri clienti nella valutazione della loro prontezza ad adempiere agli obblighi e alle responsabilità derivanti dalla nuova normativa.

Panoramica generale

La protezione dei dati è un diritto fondamentale e in quanto tale tutti hanno il diritto a proteggere i propri dati personali. Il regolamento generale sulla protezione dei dati (GDPR) è in vigore dal 25 maggio 2018 ed è stato concepito per dare agli individui un maggiore controllo sui propri dati personali. Si tratta di un complesso unico di regole valido per l’intera UE che la legislazione nazionale può integrate in alcuni specifici ambiti.

Il GDPR impone obblighi a imprese e organizzazioni che raccolgono, utilizzano e trattano dati personali. Al centro del GDPR vi è l’obbligo per le organizzazioni e le imprese ad assicurare piena trasparenza sulle modalità con cui usano e proteggono i dati personali e di dimostrare di aver responsabilmente adottato comportamenti proattivi per il trattamento dei dati tali da assicurare l’applicazione del regolamento. I dati devono essere trattati in modo corretto, per finalità determinate e con il consenso della persona interessata o in base a specifiche motivazioni stabilite dalla legge.

Sebbene Vanderbilt offra ai clienti nei suoi prodotti funzioni flessibili e intuitive per facilitare la conformità con il nuovo regolamento, l’organizzazione Vanderbilt non raccoglie, controlla, utilizza o tratta i dati personali esistenti all’interno dei prodotti Vanderbilt sui sistemi locali dei clienti. È quindi pertanto compito e responsabilità del titolare del trattamento e del responsabile del trattamento dei dati personali garantire il rispetto degli obblighi stabiliti dal GDPR.

In caso di dubbi o di incertezza su chi si ad avere il ruolo di titolare e/o responsabile del trattamento, consultare il proprio consulente legale.

Che cosa sono i dati personali?

Con il termine "dati personali" si intende qualsiasi informazione relativa a una persona vivente identificata o identificabile.

Una persona è identificabile se può essere identificata direttamente o indirettamente tramite un "identificatore". Il GDPR fornisce esempi di identificatori, come nomi, numeri di identificazione e dati sulla posizione. Una persona può anche essere identificabile tramite riferimento a fattori che sono specifici della sua identità, come fattori fisici, genetici o culturali.

I dati personali sottoposti a deidentificazione, cifratura o pseudonimizzazione, ma che possono essere utilizzati per reidentificare una persona, rimangono dati personali e rientrano nell’ambito di applicazione della normativa. I dati personali che sono stati resi anonimi, in modo tale che l’individuo non sia o non sia più identificabile, non sono più considerati dati personali. Perché i dati siano veramente anonimi, l’anonimizzazione deve essere irreversibile.

La legge protegge i dati personali indipendentemente dalla tecnologia o dal metodo utilizzato per il trattamento di tali dati e si applica sia al trattamento automatizzato che a quello manuale. Inoltre, non importa come i dati vengono archiviati: in un sistema informatico, tramite videosorveglianza o su carta; in tutti questi casi, i dati personali sono soggetti agli obblighi di protezione stabiliti nel regolamento.

Cosa si intende per trattamento dei dati?

Il trattamento dei dati copre una vasta gamma di operazioni eseguite sui dati personali, con mezzi manuali o automatizzati. Include la raccolta, la registrazione, l’organizzazione, la strutturazione, la memorizzazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione dei dati.

Il Regolamento generale sulla protezione dei dati (GDPR) si applica al trattamento dei dati personali eseguito sia in tutto o in parte mediante strumenti automatizzati che mediante trattamento non automatizzato, se parte di un sistema di archiviazione strutturato.

Sono il titolare del trattamento o il responsabile del trattamento?

Il titolare del trattamento è l’individuo o la persona giuridica che controlla e ha la responsabilità per la conservazione e l’uso delle informazioni personali memorizzate su sistemi informatici o in archivi non automatizzati strutturati. Il ruolo di titolare del trattamento comporta responsabilità legali ed è quindi necessario essere certi se queste responsabilità ricadono su sé stessi o la propria organizzazione.

Se lei o la sua organizzazione siete ad avere il controllo e la responsabilità per i dati personali che detenete, cioè se siete voi a decidere quali informazioni personali conservare e per quali finalità, allora siete lei o la sua organizzazione a essere il titolare del trattamento.

Esempi di casi in cui il titolare del trattamento dei dati è un individuo: medici generici, farmacisti, politici e ditte individuale poiché questi conservano dati personali sui loro pazienti, clienti, elettori, ecc.

Se lei o la sua organizzazione detenete i dati personali, ma sono altri individui o organizzazioni a decidere e avere la responsabilità per ciò che accade ai dati, allora sono questi altri soggetti o organizzazioni a essere il titolare del trattamento dei dati e lei o la sua organizzazione siete il "responsabile del trattamento".

Come esempi di responsabili del trattamento possiamo indicare le società che si occupano dell’elaborazione delle buste paga, i contabili e le società di ricerche di mercato, che possono detenere o trattare dati personali per conto di qualcun altro.

Che cos’è il consenso ai dati e devo tenerlo in considerazione?

Per poter trattare lecitamente i dati personali, le organizzazioni e le imprese devono sin dall’inizio identificare e documentare la base legale che le autorizza a farlo. Alcuni dei modi legali per trattare i dati includono:

  • Consenso dell’individuo: il consenso è appropriato se alla persona viene offerta una reale possibilità di scelta e di controllo sull’uso dei suoi dati.
  • Interessi vitali: il trattamento è necessario per proteggere gli interessi vitali dell’individuo, per esempio se è necessario proteggere la vita di qualcuno.
  • Conformità a obbligo di legge: i dati possono essere trattati se, per esempio, ciò è richiesto dalla normativa UE per uno scopo preciso.
  • Contratto con l’individuo: il trattamento è necessario per dare esecuzione a un contratto con l’individuo, per esempio per fornire beni o servizi che sono stati richiesti

Se non si è certi di disporre di sufficiente consenso al trattamento dei dati personali, rivolgersi al proprio consulente legale.

Che cos’è un contratto per il trattamento dei dati e devo tenerlo in considerazione?

Se si detengono o trattano (inserimento, modifica, mantenimento) dati personali (responsabile del trattamento) per conto del cliente (titolare del trattamento) è necessario un contratto che regoli il trattamento dei dati. Raccomandiamo di rivolgersi a un consulente legale per garantire che il contratto sia conforme ai requisiti di sicurezza e di protezione dei dati personali. In qualità di parte interessata raccomandiamo ai clienti di predisporre una lista di controllo riguardante la gestione dei dati e la consegna del sistema di sicurezza.

Conoscere il proprio ruolo e le proprie responsabilità

È chiaro che la legislazione si sta adeguando al nuovo regolamento e ciò deve essere tenuto in considerazione nella pianificazione dei sistemi di sicurezza. È necessario identificare e affrontare gli aspetti che possono causare problemi di conformità ai sensi del regolamento. Il regolamento GDPR assicura alle persone il diritto a ricevere informazioni chiare sull’uso dei loro dati personali.

Il primo passo è identificare il proprio ruolo e le proprie responsabilità secondo i termini del regolamento. Lei è il titolare o il responsabile del trattamento oppure ricopre entrambi i ruoli? In caso di dubbi o di incertezza su chi si ad avere il ruolo di titolare e/o responsabile del trattamento, consultare il proprio consulente legale.

Il secondo passo è assicurare la responsabilizzazione. Consideriamo l’insieme dei dati personali che vengono trattati durante il funzionamento di un sistema di sicurezza ed esaminiamoli tenendo conto dei seguenti fattori:

  • Che tipo di dati personali vengono memorizzati?
  • Qual è la base giuridica del trattamento dei dati personali?
  • Dove sono archiviati i dati?
  • Come vengono protetti i dati?
  • Per quanto tempo vengono conservati i dati?
  • Quali sono le procedure di gestione delle richieste di accesso ai dati presentate dei soggetti interessati?
  • Qual è la procedura da seguire se un soggetto chiede di essere rimosso dal sistema?
  • Chi ha accesso ai dati?
  • I dati personali vengono trasferiti al di fuori del spazio economico europeo?

ACT Enterprise e GDPR

Le informazioni che seguono descrivono come utilizzare il sistema Vanderbilt ACT Enterprise per facilitare la conformità GDPR.

Che tipo di dati personali vengono memorizzati?

Per assicurare il corretto funzionamento del sistema ACT Enterprise non è necessario archiviare obbligatoriamente nessun tipo di dati personali.

Immagine, nome, indirizzo e-mail e numero di telefono sono campi predefiniti nel sistema, ma i campi definibili dall’utente possono essere utilizzati per inserire vari dati personali.

Qual è la base giuridica del trattamento dei dati personali?

L’inserimento e il mantenimento dei dati sono controllati dal titolare del trattamento e dal responsabile del trattamento del sito. È quindi responsabilità del titolare del trattamento e/o del responsabile del trattamento assicurare la base legale che autorizza il trattamento dei dati personali.

Non ci sono procedure esplicite integrate nel software ACT Enterprise per ottenere o registrare il consenso dell’utente.

Dove sono archiviati i dati?

I dati sono memorizzati nel database ACT Enterprise situato sul server e nei backup. Alcuni dati personali possono essere memorizzati nei controller di sistema (nomi) ma questi possono essere disattivati dal proprietario del sistema.

Come vengono protetti i dati?

Per accedere al contenuto del database ACT Enterprise, viene utilizzato il software client (ACT Manage, Monitor o Install). Il login al software è protetto da password.

Non cifriamo i dati personali. L’utente finale può autonomamente scegliere di adottare la crittografia, a livello di database (SQL Server o SQL Compact).

Il personale di Vanderbilt non ha accesso al sistema del cliente, a meno che non gli sia consentito tramite accesso remoto.

Per quanto tempo vengono conservati i dati?

In ACT Enterprise, i dati del titolare della scheda vengono conservati fino a quando questi ne rimane titolare. È possibile definire le date di scadenza di validità della scheda, ma spetta all’utente del sistema provvedere alla cancellazione dei dati del titolare della scheda alla scadenza. Vanderbilt offre un report per la segnalazione della scadenza delle schede per semplificare questo processo.

È inoltre disponibile una funzione che consente di eliminare dal registro gli eventi più vecchi di un determinato numero di mesi e tale periodo è configurabile dall’utente. Per impostazione predefinita, gli eventi sono conservati all’infinito.

Per impostazione predefinita, quando si elimina un titolare di scheda, il sistema non cancella i relativi eventi del registro. Tale impostazione può però essere modificata in modo da cancellare gli eventi del registro quando si elimina l’utente.

Quali sono le procedure di gestione delle richieste di accesso ai dati presentate dei soggetti interessati?

Se viene inoltrata una richiesta, è responsabilità del titolare del trattamento e/o del responsabile del trattamento delineare la procedura e fornire i dati in modo tempestivo e in conformità al regolamento GDPR.

ACT Enterprise mette a disposizione diversi tipi di report utilizzabili per la descrizione dettagliata delle informazioni che si riferiscono al soggetto interessato (per esempio gli eventi di registro recenti) e consente l’esportazione di tali dati in formato PDF o CSV

Qual è la procedura da seguire se un soggetto chiede di essere rimosso dal sistema?

Se viene inoltrata una richiesta, è responsabilità del titolare del trattamento e/o del responsabile del trattamento delineare la procedura e rimuovere i dati in modo tempestivo e in conformità al regolamento GDPR.

L’utente finale può cancellare manualmente da ACT Enterprise i dati del titolare della scheda. Per impostazione predefinita, il sistema non cancella dal registro eventi i dati associati. Questa impostazione può tuttavia essere modificata in modo che anche gli eventi di registro degli utenti eliminati siano eliminati insieme agli utenti.

Chi ha accesso ai dati?

È responsabilità del titolare del trattamento e/o del responsabile del trattamento rivelare chi ha accesso ai dati personali sul sistema ACT Enterprise installato nel sito. Il titolare del trattamento e/o il responsabile del trattamento sono responsabili per la creazione e l’applicazione di tali procedure.

Enterprise ha un sistema database utenti per concedere a persone specifiche diritti per il client software. Tutti gli accessi al sistema sono controllati, inclusi login, modifiche ai dati utenti e altre azioni.

I dati personali vengono trasferiti al di fuori del spazio economico europeo?

I dati degli utenti non sono condivisi all’esterno del sistema ACT Enterprise nel suo normale funzionamento. È responsabilità del titolare del trattamento e/o del responsabile del trattamento rivelare se il sistema è configurato in modo tale da trasferire dati al di fuori dello spazio economico europeo.