GDPR Compliant

GDPR Compliant

Il regolamento generale sulla protezione dei dati (GDPR – Regolamento UE 2016/679), efficace a partire dal 25 maggio 2018, ha introdotto diverse ed importanti novità in tema di trattamento, protezione e circolazione di dati personali: gli ambiti di applicazione sono molti e coinvolge qualsiasi azienda, organizzazione ed ente che raccolga ed elabori dati personali di soggetti residenti nell’UE.

La commissione europea definisce dati personali “qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale o pubblica. Può riguardare qualunque dato personale: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer.”

BPM & GDPR

Il software BPM è GDPR compliant per:

tutela i dati personali, in conformità con quanto previsto dal regolamento
gestione di tutti i processi legati al trattamento dei dati, in linea con quanto definito all’interno del Registro di trattamento dei dati

Il software documentale Globe tutela i dati personali contenuti al suo interno in molti modi, ad esempio:

Come tutelare i dati personali

Piena configurabilità delle autorizzazioni utente, per definire a quali documenti ed informazioni può avere accesso
Log di accesso al documentale
Log di visualizzazione, condivisione e modifica dei documenti
Gestione delle scadenze delle password per gli accessi web
Accesso tramite Single Sign On e Active Directory
Password e database criptati

Come gestire i processi legati al trattamento dei dati con Globe

Appoggiandosi al potente motore di workflow integrato, è in grado di snellire ed automatizzare i processi legati al trattamento dei dati, facilitando l’adeguamento al regolamento europeo sul trattamento dei dati personali.

E’ ad esempio possibile

Impostare workflow automatici per lo scambio ed elaborazione di documenti ed informazioni, assicurando così che ogni documento segua un percorso ben preciso, predefinito e tracciabile, e che gli utenti preposti vengano coinvolti al momento giusto
Gestire la scadenza dei documenti, con possibilità di impostare reminder, notifiche e workflow automatici (ad esempio eliminazione di un documento al raggiungimento della data di scadenza prevista nel Registro di trattamento dei dati)
Raggruppare automaticamente in dossier (l’equivalente dei tradizionali faldoni cartacei) tutti i documenti che riguardano una stessa persona: diventa più semplice in questo modo rispondere ad una richiesta di eliminazione dei propri dati personali (diritto all’oblio) o di accesso ai dati
Bloccare automaticamente gli utenti che non utilizzano il sistema per un numero predefinito di giorni
Impostare flussi automatici, checklist e cruscotti per procedure che coinvolgono dati personali: ad esempio, in caso di assunzione di nuovo personale, potranno innescarsi workflow di creazione delle anagrafiche, dei documenti necessari all'assunzione e di impostazione delle relative scadenze ed essere definite checklist di azioni da compiere e confermare (creazione dell'utente, consegna del badge, credenziali di accesso ecc), nel pieno rispetto del regolamento. Viceversa, quando qualcuno cambia lavoro, vi è la possibilità di definire una checklist di azioni da eseguire (ad esempio workflow di eliminazione di dati e documenti personali, revoca delle credenziali di accesso, eliminazione degli account personali ecc)
Creare, compilare ed inviare automaticamente i documenti relativi alla privacy (ad esempio informative per dipendenti, fornitori, clienti) sulla base di modelli predefiniti, con eventuale registrazione del consenso fornito

GDPR: novità ed opportunità

Più nel dettaglio il GDPR prevede:

Informativa sul trattamento dei dati, da fornire prima della raccolta dei dati stessi, in cui vengono specificati i tipi di dati raccolti, come e perché verranno utilizzati, per quanto tempo verranno conservati, se verranno trasferiti in Paesi Terzi
Raccolta di un consenso esplicito e specifico al trattamento dei dati
Responsabilizzazione (“accountability”) del titolare del trattamento, che ha grande autonomia decisionale per quanto riguarda le misure da adottare per rispettare i principi in modo adeguato, ma si assume la massima responsabilità sulle procedure e strumenti che sceglie di utilizzare
Privacy by design e by default: ogni azienda deve fare in modo che la protezione dei dati sia parte di ogni progetto di sviluppo dei processi aziendali per prodotti e servizi e che di default le impostazioni di privacy siano configurate sul livello più alto possibile
Ogni soggetto ha il diritto di richiedere la cancellazione dei dati che lo riguardano (diritto all’oblio) e di ricevere i dati personali forniti per poterli trasmettere ad un altro titolare del trattamento dei dati
Tenuta di un registro dei trattamenti contente, tra le altre informazioni, i dati di titolare del trattamento e DPO (responsabile della protezione dei dati), finalità del trattamento, descrizione delle categorie di interessati e di dati personali, categorie di destinatari a cui saranno comunicati i dati personali, i trasferimenti di dati verso paesi terzi, i termini di cancellazione per le varie categorie di dati ed una descrizione delle misure di sicurezza tecniche e organizzative adottate
Obbligo di notifica entro 72 ore in caso di grave violazione dei dati (data breach)

Nonostante l’adeguamento a questo nuovo regolamento possa sembrare un’operazione dispendiosa e complicata, se l’impresa ha sempre seguito le normative precedenti (D. lgs. 196/03 ad esempio), in realtà non vi saranno grosse difficoltà a rendere l’azienda compliant.

L’entrata in vigore del GDPR dovrebbe essere vista dalle aziende come un’opportunità di rendere le imprese ed i processi aziendali sicuri, digitalizzati ed ottimizzati, andando ad investire in soluzioni digitali che garantiscano sicurezza, automazione e pieno controllo sui documenti ed i processi aziendali.

L’utilizzo di un software come Globe permette di gestire in modo facile, sicuro ed intuitivo tutte le procedure relative a documenti contenenti dati personali.