Regolamento Generale sulla Protezione Dei Dati (GDPR)
Che cos’è?
Il Regolamento generale sulla protezione dei dati (GDPR) è una legge europea sulla privacy approvata dalla Commissione europea nel 2016 ed entrata in vigore il 25 maggio 2018. Il GDPR sostituirà una precedente direttiva sulla privacy dell’Unione Europea, nota come Direttiva 95/46/CE, che è stata la base della legge europea sulla protezione dei dati dal 1995. Il GDPR è un tentativo di rafforzare e modernizzare la legge europea sulla protezione dei dati e di migliorare i diritti e le libertà individuali, in linea con la concezione europea della privacy come diritto umano fondamentale. Il GDPR regolamenta, tra le altre cose, le modalità con cui gli individui e le organizzazioni possono ottenere, utilizzare, conservare e rimuovere i dati personali. In poche parole, offre ai cittadini e ai residenti dell’UE il controllo sui loro dati personali, semplificando al contempo il contesto normativo per le attività commerciali internazionali che si svolgono nell’UE.
I principi di protezione dei dati includono requisiti quali:
- I dati personali raccolti devono essere trattati in modo equo, legale e trasparente e devono essere utilizzati solo in un modo che una persona si aspetterebbe ragionevolmente.
- I dati personali devono essere raccolti solo per soddisfare uno scopo specifico e devono essere utilizzati solo per tale scopo. Le organizzazioni devono specificare perché hanno bisogno dei dati personali quando li raccolgono.
- I dati personali non devono essere conservati più a lungo di quanto sia necessario per raggiungere il loro scopo.
- Le persone interessate dal GDPR hanno il diritto di accedere ai propri dati personali. Possono inoltre richiedere una copia dei propri dati e che questi vengano aggiornati, cancellati, limitati o trasferiti a un’altra organizzazione.
Perché è importante?
Il GDPR aggiunge alcuni nuovi requisiti su come le aziende devono proteggere i dati personali degli individui che raccolgono ed elaborano. Inoltre, alza la posta in gioco per la conformità aumentando l’applicazione e imponendo multe più salate in caso di violazione. Al di là di questi fatti, è semplicemente la cosa giusta da fare. Noi di TaxDome crediamo fermamente che la privacy dei vostri dati sia molto importante e abbiamo già messo in atto solide pratiche di sicurezza e privacy che vanno oltre i requisiti di questa nuova normativa.
Modifica dell’elaborazione dei dati
Offriamo una modifica al trattamento dei dati (DPA) per i nostri clienti che raccolgono dati da persone nell’UE. Il nostro DPA offre termini contrattuali che soddisfano i requisiti del GDPR e che riflettono i nostri impegni in materia di privacy e sicurezza dei dati nei confronti dei nostri clienti.
Per garantire che non ci vengano imposti termini che vadano al di là di quanto riportato nel nostro DPA e nei Termini di servizio, non possiamo accettare di firmare i DPA dei clienti. Essendo un team di piccole dimensioni, non siamo in grado di apportare modifiche individuali al nostro DPA in quanto non disponiamo di un team legale. Qualsiasi modifica al DPA standard richiederebbe l’intervento di un consulente legale e una lunga serie di discussioni che sarebbero proibitive per il nostro team.
Se avete domande o dubbi, fatecelo sapere.
Formazione e sensibilizzazione
Abbiamo formato un team di base per la privacy composto da leader di ogni area dell’azienda TaxDome, con a capo il nostro responsabile interno della protezione dei dati (DPO). I rappresentanti di questo gruppo sono i responsabili del progetto che garantiranno la copertura di tutti i requisiti del GDPR, dal marketing all’ingegneria, fino alle operazioni con le persone. Il team si riunisce una volta al mese per discutere i progressi attuali verso la preparazione al GDPR e continuerà a farlo. Questo team è anche responsabile dello sviluppo del programma di formazione di TaxDome sul GDPR e della verifica che tutti i dipendenti di TaxDome comprendano e si tengano aggiornati sulla normativa vigente.
Consenso
Abbiamo aggiornato la nostra politica sui cookie per fornire all’utente una trasparenza completa su ciò che viene impostato quando visita il nostro sito e su come viene utilizzato. Nella pagina della nostra politica sui cookie è inoltre possibile leggere le misure che è possibile adottare per controllare il modo in cui il browser gestisce i cookie.
Inventario dei dati
Abbiamo esaminato e identificato tutte le aree di TaxDome in cui raccogliamo ed elaboriamo i dati dei clienti, classificando e facendo un inventario di tutto, dai cookie alle conversazioni dell’help desk. Utilizzando questa matrice abbiamo convalidato la nostra base legale per la raccolta e l’elaborazione dei dati personali e abbiamo verificato che stiamo applicando le opportune misure di sicurezza e di tutela della privacy in tutta la nostra infrastruttura e nel nostro ecosistema software. La nostra Informativa sulla privacy identifica cosa facciamo con i dati che raccogliamo e come gestiamo il consenso.
Aggiornamenti ai contratti con i fornitori terzi
Abbiamo rivisto il nostro elenco di fornitori terzi ed eseguito una revisione approfondita della loro conformità al GDPR. Con la maggior parte dei nostri fornitori che offrono una versione firmata, avevamo già predisposto delle DPA, mentre altri hanno adottato il nostro stesso approccio e hanno fatto in modo che la DPA fosse accettata automaticamente come parte dei Termini di servizio.
Termini di servizio e informativa sulla privacy chiari e concisi
In TaxDome pratichiamo la trasparenza al nostro interno e crediamo che questa si estenda anche ai nostri clienti. Con i nostri Termini di servizio e l’Informativa sulla privacy aggiornati descriviamo apertamente quali dati personali raccogliamo, elaboriamo, perché, come li utilizziamo, con chi li condividiamo e per quanto tempo li conserviamo. Abbiamo sempre cercato di mantenere il linguaggio dei nostri Termini di servizio e delle nostre Norme sulla privacy il più chiaro possibile e abbiamo aggiornato queste note per descrivere come rispettiamo e proteggiamo i vostri dati personali. Ci auguriamo che le troviate concise, trasparenti, comprensibili e facilmente accessibili.
Diritti dell’interessato – Accesso, portabilità e cancellazione dei dati
Ci impegniamo ad aiutare i nostri clienti a soddisfare i requisiti in materia di diritti degli interessati previsti dal GDPR. TaxDome elabora o memorizza tutti i dati personali presso fornitori pienamente verificati e conformi alla DPA. Conserviamo tutte le conversazioni e i dati personali per un massimo di 6 anni, a meno che il vostro account non venga cancellato. In tal caso, smaltiamo tutti i dati in conformità ai nostri Termini di servizio e alla nostra Informativa sulla privacy, ma non li conserviamo per più di 60 giorni.
Siamo consapevoli che se lavorate con clienti dell’UE, dovete essere in grado di fornire loro la possibilità di accedere, aggiornare, recuperare e rimuovere i dati personali. Vi abbiamo fregato! Siamo stati impostati come self service fin dall’inizio e vi abbiamo sempre dato accesso ai vostri dati e a quelli dei vostri clienti. Potete cercare e cancellare le conversazioni di qualsiasi utente finale attraverso l’interfaccia utente del nostro help desk. Il nostro customer support team è a vostra disposizione per rispondere a qualsiasi domanda.
Valutazione del rischio (valutazione dell’impatto sulla protezione dei dati)
Un processo di valutazione d’impatto sulla protezione dei dati (DPIA) è un requisito per il GPDR. Un processo di DPIA è semplicemente un modo per aiutarci a identificare e ridurre al minimo i rischi di protezione dei dati di un progetto. Il team di ingegneri di TaxDome ha sempre effettuato una due diligence sulla sicurezza e sulla privacy quando ha preso decisioni sugli strumenti e sull’implementazione, quindi questo requisito è facile per noi. Ogni volta che introduciamo una modifica al modo in cui gestiamo i dati personali, dedichiamo del tempo a discutere il potenziale impatto sui clienti di TaxDome e i possibili rischi per la privacy e la sicurezza dei dati personali. Se viene identificato un rischio, per quanto piccolo, i nostri team di prodotto e di progettazione collaborano a una soluzione che riduce il rischio per la privacy e la sicurezza dei dati per chiunque interagisca con la piattaforma TaxDome. Continueremo ad applicare questo processo di valutazione dei rischi man mano che espanderemo l’offerta di TaxDome.
Gestione delle violazioni
Disponiamo già di un piano di gestione e comunicazione delle violazioni a supporto dei requisiti dell’HIPAA e abbiamo aggiornato questo processo esistente per conformarci alle normative del GDPR per quanto riguarda il processo di escalation e i requisiti per la notifica agli interessati.
Siamo qui per voi
Stiamo collaborando con i nostri clienti per rispondere a tutte le domande e ai dubbi relative alle modalità di protezione dei loro dati personali e di preparazione al GDPR. Se avete domande, non esitate a contattarci.
Ultimo aggiornamento November 22, 2023