tutti i diritti riservati 2011
 

Panoramica delle nuove leggi sulla privacy
Le migliori pratiche con Matrix Computer
Dal 25 maggio 2018 è entrato in vigore il Regolamento generale sulla protezione dei dati (GDPR), che apre una nuova era di protezione dei dati e privacy per tutti. Sebbene tu abbia sicuramente sentito e letto molte informazioni sul GDPR, può essere difficile capire esattamente cosa significhi per la tua azienda, in termini pratici, e cosa dovresti fare per essere conforme alle nuove regole.

In Matrix Computer , ci impegniamo a seguire le migliori pratiche in termini di sicurezza e privacy. Ci impegniamo a fornire lo stesso livello di protezione a tutti gli utenti e i clienti, senza distinzioni sulla loro posizione o cittadinanza. E applichiamo tali best practice per tutti i dati, non solo per i dati personali.

Quindi Matrix Computer  e le sue filiali sono conformi al GDPR.

1 • Cosa devi sapere sul GDPR
Suggerimento
Se puoi, il modo migliore per capire il GDPR è leggere il testo ufficiale.
È un po 'lungo (99 articoli su 88 pagine), ma abbastanza leggibile per i non esperti.

È un regolamento dell'UE che mira ad armonizzare e modernizzare la legislazione sulla privacy esistente, come la direttiva sulla privacy dei dati dell'UE che sostituisce. Stabilisce norme per la protezione delle persone fisiche con riguardo al trattamento dei loro dati personali e alla libera circolazione dei dati personali all'interno dell'Europa.

È un regolamento, non una direttiva, quindi immediatamente applicabile in tutti gli Stati membri dell'UE, senza richiedere il recepimento nel diritto interno di ciascun paese. I paesi dell'UE hanno un margine di interpretazione limitato per i punti più fini, ma le regole fondamentali saranno le stesse per tutti, ovunque nell'UE.

Il GDPR porta anche la legislazione nel prossimo millennio, tenendo conto dei social media, del cloud computing, del crimine informatico e delle principali sfide che comportano in termini di privacy e sicurezza dei dati personali.

In poche parole: non fatevi prendere dal panico!
Il GDPR non è una nuova legislazione rivoluzionaria ed è fondamentalmente una buona cosa per i cittadini e le imprese.

È positivo!

Vogliamo sottolineare che il GDPR può essere ottimo per te e per i tuoi clienti. Il rispetto del GDPR può inizialmente rappresentare molto lavoro, ma ci sono aspetti positivi delle nuove regole:

Maggiore fiducia da parte dei tuoi clienti e utenti
Semplificazione: le stesse regole sono applicate in tutti i paesi dell'UE
Razionalizzazione e centralizzazione dei processi organizzativi
Lo scopo del GDPR è quello di fornire agli individui maggiore controllo sui propri dati personali. Se la tua azienda mette in atto strategie e sistemi corretti, sarà più facile da gestire, più sicura e più sicura per gli anni a venire.

Quali sono i rischi se non sei conforme?
La sanzione massima per non conformità è una sanzione amministrativa di 20 milioni di euro, pari al 4% del fatturato annuale globale, a seconda di quale sia maggiore. Un limite inferiore di 10 milioni di euro o il 2% del fatturato annuo globale è applicabile per le infrazioni minori.

Questi massimi sono pensati per essere dissuasivi per le aziende di tutte le dimensioni, ma il GDPR richiede anche che le ammende siano mantenute proporzionate.

Le autorità di controllo (note anche come autorità per la protezione dei dati: DPA) devono tenere conto delle circostanze di ciascun caso, tra cui la natura, la gravità e la durata dell'infrazione. A tali DPA sono inoltre conferiti poteri di indagine e imporre azioni correttive, tra cui la limitazione delle attività illecite, senza necessariamente imporre un'ammenda.

Un altro rischio se non ti attieni è la perdita di fiducia dei tuoi clienti e potenziali clienti, che si preoccupano del modo in cui elabori i loro dati!

Infine, molti DPA hanno suggerito che non imporranno multe nel 2018, ma si aspettano che le aziende dimostrino che stanno lavorando per la conformità.
Principi chiave del GDPR
Scopo
Il regolamento si applica a qualsiasi trattamento di dati personali da parte di qualsiasi organizzazione:

Se l'organizzazione di controllo o di elaborazione ha sede nell'UE
Se l'organizzazione non ha sede nell'UE, ma il trattamento prevede dati personali di soggetti situati nell'UE ed è correlato a offerte commerciali o monitoraggio del comportamento.

Il campo di applicazione comprende quindi le società non UE, il che non era il caso della legislazione precedente.
Ruoli
Il regolamento distingue due tipi principali di entità:

Titolare del trattamento: qualsiasi entità che determina le finalità e le modalità del trattamento dei dati personali, da solo o congiuntamente. Come regola generale, ogni organizzazione è un controller per i propri dati.
Responsabile del trattamento: qualsiasi entità che elabora i dati per conto di un titolare del trattamento.
Ad esempio, se la tua azienda possiede un database ospitato su Matrix Cloud, sei il controller di quel database e Matrix Computer è solo un elaboratore di dati. Se invece usi Matrix Computer on premise, sei sia il controller che il processore dei dati.

Dati personali
Il GDPR fornisce un'ampia definizione di dati personali: qualsiasi informazione relativa a una persona fisica identificata o identificabile. Una persona identificabile è quella che può essere identificata, direttamente o indirettamente, tramite i loro nomi, e-mail, numeri di telefono, informazioni biometriche, dati sulla posizione, dati finanziari, ecc. Gli identificatori online (indirizzi IP, ID dispositivo, ...) sono anche in scopo.

Ciò vale anche in contesti aziendali: info@matrix-computer.it non è considerato personale, ma stefano@matrix-computer.it lo è, perché può essere utilizzato per identificare una persona fisica all'interno di un'azienda.

Il GDPR richiede anche un livello più elevato di protezione per i dati sensibili, che include categorie specifiche di dati personali come informazioni sanitarie, genetiche, razziali o religiose.
Principi di elaborazione dei dati
Per essere conformi, le attività di elaborazione devono rispettare le seguenti regole:
(come elencato nell'articolo 5 del GDPR)

Liceità, correttezza e trasparenza: per raccogliere dati, è necessario disporre di una base giuridica, di uno scopo chiaro e di informare l'argomento al riguardo.

Avere una politica sulla privacy semplice e chiara e fare riferimento ad essa ovunque si raccolgono dati
Verifica la base giuridica per ciascuna delle tue attività di trattamento dei dati
Limitazione delle finalità: una volta raccolti per uno scopo, richiedere l'autorizzazione se si desidera utilizzarlo per uno scopo diverso.

per esempio. - Non puoi decidere di vendere i dati dei tuoi clienti se non sono stati raccolti a tale scopo.

Riduzione al minimo: è necessario raccogliere solo i dati necessari per il proprio scopo

Precisione: devono essere prese misure ragionevoli per garantire che i dati siano tenuti aggiornati, in relazione allo scopo

per esempio. - Assicurati di gestire le email rimbalzate e di correggere o eliminare gli indirizzi.

Limitazione dell'archiviazione: i dati personali devono essere conservati solo per la durata necessaria al raggiungimento del loro scopo principale.

Definire i termini per la cancellazione o la revisione dei dati personali elaborati, a seconda del loro scopo.

Integrità e riservatezza: i responsabili del trattamento dei dati devono attuare adeguate misure di controllo degli accessi, sicurezza e prevenzione della perdita dei dati, conformemente ai tipi e alle dimensioni dei dati trattati.

per esempio. - Assicurati che il tuo sistema di backup funzioni, che disponga di controlli di sicurezza adeguati, utilizza la crittografia per proteggere i dati sensibili come password, ...

Responsabilità: i responsabili del trattamento dei dati sono responsabili e devono essere in grado di dimostrare la conformità a tutti i principi di elaborazione di cui sopra.

Stabilisci e gestisci un riferimento di mappatura dei dati per la tua organizzazione, descrivendo la conformità delle tue attività di elaborazione
Informa i tuoi clienti tramite una chiara Informativa sulla privacy
Basi legali
Per essere lecito ai sensi del GDPR (primo principio), il trattamento dei dati personali deve basarsi su una delle sei possibili basi giuridiche, come elencato all'articolo 6, paragrafo 1:

Consenso. Valido quando l'interessato ha dato esplicitamente e liberamente il consenso dopo essere stato adeguatamente informato, compreso uno scopo chiaramente dichiarato e specifico. L'onere della prova per tutto questo è a carico del responsabile del trattamento.
Necessario per l'esecuzione di un contratto o per soddisfare le richieste dell'interessato, in preparazione di un contratto.

Rispetto di un obbligo legale imposto al responsabile del trattamento.
Proteggere un interesse vitale. Quando l'elaborazione è necessaria per salvare una vita.
Interesse pubblico o autorità ufficiale.
Legittimo interesse. Applicabile quando il responsabile del trattamento ha un interesse legittimo che non viene sovrascritto dagli interessi e dai diritti fondamentali dell'interessato.
Una delle principali modifiche apportate dal GDPR rispetto alle precedenti normative sulla privacy dei dati sono i requisiti più rigorosi per ottenere un consenso valido.
Diritti dell'interessato
I diritti di privacy dei dati esistenti per le persone sono ulteriormente ampliati dal GDPR. Le organizzazioni devono essere preparate a gestire le richieste degli interessati in modo tempestivo (entro 1 mese), gratuitamente:

Diritto di accesso: gli individui hanno il diritto di sapere quali e come i loro dati personali vengono elaborati, in piena trasparenza;
Diritto di rettifica: gli individui hanno il diritto di ottenere la correzione o il completamento dei propri dati personali;
Diritto alla cancellazione - Le persone hanno il diritto di ottenere la cancellazione dei propri dati personali per motivi legittimi (consenso revocato, non più necessario allo scopo, ecc.);
Diritto alla restrizione - Gli individui possono richiedere al responsabile del trattamento di interrompere l'elaborazione dei propri dati personali, se non desiderano o non possono richiedere la cancellazione completa;
Diritto di opposizione: gli individui hanno il diritto di opporsi a determinati trattamenti dei propri dati personali in qualsiasi momento, ad esempio per scopi di marketing diretto;
Portabilità dei dati: gli individui hanno il diritto di richiedere che vengano forniti loro dati personali detenuti da un responsabile del trattamento o a un altro responsabile del trattamento.
2 • Come prepararsi al GDPR
Clausola di esclusione della responsabilità
Non possiamo fornire consulenza legale, questa sezione è fornita solo a scopo informativo. Contatta il tuo consulente legale per determinare esattamente in che modo il GDPR influisce sulla tua azienda.

Ecco i passaggi chiave che suggeriamo per una tabella di marcia per la conformità al GDPR:

Stabilire una mappatura dei dati delle attività di elaborazione dei dati della propria organizzazione per ottenere un quadro chiaro della situazione. Le autorità di protezione dei dati spesso forniscono modelli di fogli di calcolo per aiutare in questa attività. Per ogni processo, documentare il tipo di dati personali e come sono stati raccolti; lo scopo, la base giuridica e la politica di cancellazione del trattamento; le misure di sicurezza tecniche e organizzative implementate e i subappaltatori (processori) coinvolti.

Dovrai mantenere questa mappatura dei dati regolarmente, man mano che i tuoi processi si evolvono.
In base al passaggio 1, scegliere una strategia di riparazione per qualsiasi elaborazione in cui non si dispone di una base giuridica (ad esempio, mancando il consenso) o in cui non si dispone di adeguate misure di sicurezza. Adatta i tuoi processi, le tue procedure interne, le tue regole di controllo degli accessi, i backup, il monitoraggio, ecc.
Aggiorna e pubblica una chiara Informativa sulla privacy sul tuo sito web. Spiegare quali dati personali vengono elaborati, come lo si fa e quali sono i diritti delle persone rispetto ai loro dati.
Rivedi i tuoi contratti con un consulente legale e adattali al GDPR.
Decidi come rispondere ai vari tipi di richieste degli interessati.
Preparare la procedura di risposta agli incidenti in caso di violazione dei dati.
A seconda della situazione, altri elementi potrebbero essere aggiunti all'elenco, come la nomina di un responsabile della protezione dei dati. Consulta i tuoi esperti di elaborazione interna e i tuoi consulenti legali per determinare qualsiasi altra misura pertinente.

Ricorda!
Stabilire una chiara mappatura dei tuoi processi renderà tutto più facile sulla strada della conformità!
3 • In che modo Matrix Computer  è conforme al GDPR
In Matrix Computer , l'implementazione delle migliori pratiche in materia di privacy e sicurezza non è una nuova idea. Come società di hosting cloud, stiamo costantemente rivedendo e migliorando i nostri sistemi, strumenti e processi, al fine di mantenere una piattaforma ottima e sicura.

I nostri ruoli GDPR
Le nostre responsabilità in termini di protezione dei dati personali dipendono dalle nostre varie attività di elaborazione dei dati:

I nostri ruoli Elaborazione dei dati Tipo di dati
Titolare e responsabile del trattamento dei dati personali su Matrix Computer, Dati personali forniti a noi dai nostri clienti diretti e potenziali, dai nostri partner e da tutti gli utenti diretti di matrix-computer.it (nomi, e-mail, indirizzi, password ...)
Responsabile del trattamento su Matrix Cloud
Tutti i dati personali archiviati nei database dei nostri clienti, ospitati nel cloud Matrix o trasferiti a noi allo scopo di utilizzare uno dei nostri servizi. Il proprietario del database è il titolare del trattamento.
Nessun ruolo locale Tutti i dati presenti nei database Matrix ospitati in locale o in qualsiasi hosting non gestito da noi.
I nostri documenti GDPR

In qualità di Titolare del trattamento dei dati, le nostre attività sono coperte dalla nostra Informativa sulla privacy, che è stata aggiornata per il GDPR. Questa politica spiega il più chiaramente possibile quali dati trattiamo, perché li elaboriamo e come li facciamo. Strettamente correlato a questo, la nostra politica di sicurezza spiega le migliori pratiche di sicurezza che abbiamo implementato in Matrix Computer, a tutti i livelli (tecnico e organizzativo) al fine di garantire che i tuoi dati vengano elaborati in modo sicuro.

Oltre a tali politiche, le nostre attività in qualità di Responsabile del trattamento dei dati sono soggette all'accettazione del nostro Accordo di abbonamento Matrix Computer. Questo accordo è stato aggiornato al fine di aggiungere le necessarie clausole di protezione dei dati (spesso denominate "Accordo sul trattamento dei dati"), come richiesto dal GDPR.
Come cliente di Matrix Computer. non hai nulla da fare per accettare queste modifiche, beneficerai già delle nuove garanzie e considereremo che accetti se non sentiamo nulla da te!

Oltre a questi documenti, stiamo anche aggiornando il nostro sito Web per inserire avvisi sulla privacy in tutti i luoghi pertinenti, al fine di tenere sempre informati i nostri utenti.
4 • In che modo Matrix computer ti aiuta a implementare le migliori pratiche GDPR
L'uso di Matrix Computer per gestire la tua attività non può essere sufficiente per la conformità al GDPR, poiché il regolamento si applica a tutta la tua organizzazione. Tuttavia, poiché Matrix Computer centralizza i dati, riduce la ridondanza dei dati e implementa diritti di accesso granulari e controlli di sicurezza, può essere di grande aiuto per conformarsi al GDPR.

Ecco alcuni modi in cui pensiamo che Matrix Computer possa aiutarti nel contesto del GDPR, sia per i database Matrix Computer che per quelli ospitati su cloud.

Dichiarazione di non responsabilità: come sempre, consultare il proprio consulente legale al fine di determinare come rispettare le richieste del GDPR e dell'interessato. Tieni sempre presente che potresti anche elaborare dati personali al di fuori di Matrix Computer.
Diritto di accesso (art. 15) e diritto alla portabilità dei dati (art. 20)
Matrix Computer fornisce alcuni strumenti agli interessati per accedere e aggiornare le loro informazioni personali in modalità self-service:
Il portale clienti consente di sfogliare i documenti contrattuali: indirizzo e contatti, fatture, preventivi, ordini, attività, biglietti per helpdesk, acquisti, abbonamenti, ordini di consegna, pagamenti e comunicazioni relative a questi documenti.
La pagina delle mailing list, consente agli utenti di rivedere e gestire i propri abbonamenti
Il profilo del forum consente agli utenti del forum di rivedere tutte le loro attività a colpo d'occhio
Se è necessario esportare tutti i dati o comunicare dati privati ​​non accessibili tramite il portale, sono necessari alcuni passaggi manuali.

Di solito è possibile raggiungere tutti i documenti pertinenti direttamente dalla barra in alto nel modulo di contatto degli utenti, dove sono collegati. È quindi possibile esportare tutte le informazioni con la funzione

"Stampa come PDF" del browser o con il menu Azione> Esporta, dall'elenco dei contatti o dall'elenco dei loro documenti.
Entrambe le opzioni forniscono formati elettronici conformi al GDPR.
Inoltre, potresti avere informazioni non collegate al modulo di contatto, che l'interessato potrebbe aver inserito in un contesto separato. Dovresti anche rivederli, ad esempio cercando per nome o indirizzo email
Abbonamenti ad eventi
Lead e opportunità nel tuo CRM
Promemoria: Oltre a essere in grado di esportare come PDF tramite il browser, Matrix Computer dispone di uno strumento per esportare qualsiasi record o elenco di record in un file CSV o Excel, nonché con i relativi documenti collegati a questo record. Per usarlo, vai alla visualizzazione elenco di qualsiasi schermata, seleziona i record e fai clic su Azione> Esporta, quindi scegli "Esporta tutti i dati". Lo strumento ti consente quindi di scegliere i campi che desideri esportare.
Diritto all'oblio (art. 17)
Il GDPR garantisce agli interessati il ​​diritto di richiedere la cancellazione dei propri dati personali, a condizioni specifiche, quali:

I dati non sono più necessari in base allo scopo;
Ritirano il consenso per un trattamento basato esclusivamente sul consenso;
Il trattamento è altrimenti illegale.
Se si determina che la richiesta è legittima e si è confermata l'identità dell'oggetto, è possibile tentare di eliminare il contatto corrispondente in Matrix Computer. Questo è sicuro: il sistema bloccherà l'operazione se un documento commerciale fa ancora riferimento al contatto (fattura, contatto, ordine di consegna, post sul forum, ecc.). In tal caso, è necessario decidere se si dispone di altri obblighi per conservare questi documenti e si deve rifiutare la richiesta di cancellazione.

Se non hai motivi legali per conservare le informazioni personali, ma non puoi, o non vuoi eliminare, un documento o un contatto, considera invece l'anonimato. È possibile rinominare il contatto e modificarne i dati riconoscibili (e-mail, indirizzo, ecc.) Oppure riassegnare i documenti a un contatto anonimo generico. Una volta opportunamente anonimizzati, questi dati non saranno più dati personali.
Limitazione del trattamento (articolo 18) e revoca del consenso (articolo 7)
Gli utenti spesso chiedono di essere cancellati dalle e-mail commerciali. Se i tuoi invii sono stati inviati tramite Matrix Computer, gli utenti possono farlo da soli utilizzando il link di annullamento dell'iscrizione del footer. Ma puoi anche spuntare manualmente il campo "opt-out" su un contatto o lead / opportunità. I record contrassegnati come "opt-out" vengono automaticamente esclusi dalle campagne di posta elettronica di massa, ma possono comunque ricevere messaggi diretti dagli utenti (ad esempio preventivi, fatture).

Diritto alla rettifica (articolo 16) e alla precisione dei dati (articolo 5, paragrafo 1, lettera d)

Gli indirizzi e-mail non validi / modificati sono una fonte comune di errore dei dati. Quando l'integrazione e-mail è configurata correttamente (per impostazione predefinita su Matrix Cloud), Matrix gestisce i rimbalzi e-mail nelle e-mail di massa e incrementa un campo Bounce con il numero di messaggi rimbalzati. Puoi rivedere periodicamente i tuoi contatti o potenziali clienti con una ricerca personalizzata su "Rimbalza maggiore di 0" e pulirli / eliminarli.

I follower dei canali di discussione di Matrix vengono automaticamente cancellati dopo 10 rimbalzi.

In termini di rettifica, utenti e clienti possono anche correggere i propri dati personali (nome, e-mail, indirizzo) attraverso il portale Matrix Computer.
Consenso (art. 7)
Quando raccogli dati personali tramite i meccanismi predefiniti di Matrix Computer (ad es. Modulo di contatto, abbonamento alla mailing list, abbonamenti ad eventi), devi stabilire uno scopo e una base legale per l'elaborazione. Questo dipende molto da come userete i dati.

Se lo scopo è specifico e ovvio (ad esempio, conservare i partecipanti agli eventi registrati per tenerli informati sul mandato dell'evento; iscrivere qualcuno alla mailing list che hanno scelto), non è necessario richiedere il loro consenso esplicito (i dati personali sono necessari per un contratto - Art. 6 (1) b). Tuttavia è ancora necessario chiarire lo scopo per l'utente e fare riferimento alla pagina dell'Informativa sulla privacy in cui si forniscono ulteriori informazioni. Puoi utilizzare il costruttore di siti Web di Matrix per modificare i moduli e aggiungere le menzioni richieste.

Tuttavia, se si prevede di utilizzare i dati raccolti per altri scopi, è necessario ottenere il consenso esplicito per ogni scopo dall'utente. Il modo consigliato è aggiungere caselle di controllo al modulo per ottenere il consenso per ogni scopo specifico (ad esempio "Inviami sconti e promozioni su prodotti simili via e-mail"). Per fare questo con Matrix, puoi:

Utilizzare Matrix Studio per aggiungere un campo di spunta (booleano) al documento che raccoglie dati personali (ad esempio Lead / Opportunità), per rappresentare il consenso a questo scopo
Aggiungi la casella di controllo nel modulo del tuo sito Web tramite il generatore di siti Web di Matrix
Utilizzare questo campo durante l'elaborazione dei dati a tale scopo, ad esempio nei filtri del segmento delle campagne di marketing.
Privacy by Design (Art. 25)
Security by Design è al centro del nostro lavoro di ricerca e sviluppo in Matrix Computer e applichiamo le migliori pratiche di sicurezza per rendere il nostro software sicuro, robusto e resistente per tutti.

Controllo degli accessi: il meccanismo predefinito di controllo degli accessi basato su gruppi di Matrix consente di limitare l'accesso ai dati personali in base al ruolo e alle esigenze di ciascun utente. (ad es. un project manager potrebbe non aver bisogno di accedere alle candidature) Se rivedi le assegnazioni dei

gruppi di utenti e le gestisci correttamente quando i ruoli cambiano nella tua organizzazione, hai una solida base di privacy. È possibile aggiungere o modificare facilmente gruppi di utenti per adattarli alla propria organizzazione.

Regole di registrazione: per ottimizzare l'accesso ai dati personali, è possibile utilizzare il concetto di Regole di registrazione, che consente di limitare l'accesso ai documenti in base a qualsiasi criterio basato sui valori dei campi. Le regole di registrazione possono bloccare le operazioni di lettura e / o scrittura e funzionano in base al documento. Per ulteriori informazioni, consultare la nostra documentazione.

Password: Matrix Computer memorizza le password degli utenti con hashing sicuro standard del settore. È anche possibile utilizzare sistemi di autenticazione esterni come OAuth 2.0 o LDAP, al fine di evitare la memorizzazione delle password degli utenti.

Dati dei dipendenti: un'area in cui è probabile che i database Matrix Computer includano dati personali sensibili è la scheda Informazioni private del modulo dei dipendenti e dei relativi contratti. Questa parte dell'elenco dei dipendenti è visibile solo al personale delle risorse umane (gruppo "Responsabile delle risorse umane"), che ne ha bisogno per il proprio lavoro. Di recente abbiamo esteso questa protezione all'indirizzo personale dei dipendenti, che sono memorizzati come Contatti, aggiungendo un nuovo tipo di indirizzo ("Privato") visibile solo al personale delle risorse umane. Questo è già disponibile nella versione di anteprima di Matrix 12.0 (e Matrix Online a partire da saas-11.4) e stiamo lavorando per aggiungerlo alle versioni precedenti.
Sicurezza del trattamento (articoli 25 e 32)
Se usi i servizi, implementiamo le migliori pratiche di sicurezza e privacy a tutti i livelli. Puoi trovare ulteriori informazioni al riguardo nella nostra Politica di sicurezza.
Se , sei responsabile delle seguenti best practice sulla sicurezza. È possibile iniziare con le raccomandazioni di sicurezza della nostra documentazione di distribuzione.

 

info@matrix-computer.it