Regolamento generale sulla protezione dei dati UE: 5 conseguenze per il settore della stampa

Il Regolamento generale sulla protezione dei dati UE (GDPR) è entrato in vigore il 25 maggio 2018. Se la tua azienda gestisce informazioni personali riguardanti cittadini UE, dovrà adeguarsi al nuovo regolamento per non rischiare multe fino a 20 milioni di euro oppure pari al 4% del fatturato complessivo annuale.

Cosa significa questo nuovo regolamento per il settore della stampa? Ecco cinque aspetti importanti da conoscere:

1. Comprendere il significato di “Responsabile del trattamento dei dati” e “Responsabile dell’elaborazione dei dati”

La prima cosa che le aziende del settore della stampa devono fare è comprendere se la loro attività rientra nell’area “trattamento” o “elaborazione” dei dati. Il nuovo regolamento prevede obblighi per entrambi. Il “responsabile del trattamento” determina lo scopo e gli strumenti dell’elaborazione dei dati personali (ad es. una banca), mentre il “responsabile dell’elaborazione” elabora i dati personali per conto del responsabile del trattamento (ad es. una società di stampa).

Le aziende, indipendentemente dal fatto che si occupino di trattamento o elaborazione, potrebbero dover designare un Responsabile della protezione dei dati. In collaborazione con altri reparti aziendali, le attività del Responsabile della protezione dei dati includono: monitorare la conformità al GDPR, informare l’azienda e i suoi dipendenti in merito ai loro obblighi e fare da punto di contatto per le autorità di vigilanza e le persone i cui dati sono elaborati.

2. Registrazione delle attività di elaborazione

Ai sensi del nuovo regolamento, i responsabili del trattamento e dell’elaborazione dei dati devono registrare le attività di elaborazione dei dati e rendere tali informazioni disponibili alle autorità di vigilanza quando richiesto.

Come devono tenere traccia del flusso di dati i responsabili dell’elaborazione? Uno dei modi consiste nello svolgere attività di mappatura dei dati che forniscano una visibilità completa dei dati acquisiti, elaborati e conservati, oltre a risalire al flusso di dati tra i reparti aziendali e gli elaboratori secondari o le terze parti. Tali attività di mappatura dovrebbero essere ripetute laddove subentrassero cambiamenti nel modo in cui i dati vengono acquisiti; inoltre sistemi, processi o procedure potrebbero essere modificati durante il ciclo di vita dei dati stessi.

3. Diritti individuali

L’attenta supervisione e tracciabilità dei dati personali è fondamentale ai fini della conformità ai più rigorosi diritti individuali previsti dal regolamento GDPR, i quali includono il diritto a essere informati, il diritto alla portabilità dei dati e il diritto alla cancellazione (noto anche come “diritto all’oblio”).

Per esempio, una persona potrebbe desiderare che i suoi dati personali siano cancellati o, laddove opportuno, che sia interrotta l'elaborazione dei suoi dati. Alle società operanti nel settore della stampa, in qualità di responsabili dell’elaborazione, potrebbe essere chiesto di assistere i responsabili del trattamento nell’ambito delle richieste di accesso. In questi casi, i responsabili dell’elaborazione dovrebbero trovare specifici dati personali da rimuovere o distruggere dietro richiesta della persona a cui appartengono tali dati, oppure dei responsabili del trattamento.

4. Sistemi di sicurezza e privacy

Si è parlato molto delle nuove tempistiche del regolamento GDPR, che prevede che i responsabili del trattamento dei dati abbiano a disposizione 72 ore per segnalare eventuali violazioni dei dati alle autorità di vigilanza. Il regolamento GDPR prevede inoltre che i responsabili dell’elaborazione dei dati informino immediatamente i responsabili del trattamento in caso di violazione di dati personali.

Per evitare le multe e possibili pregiudizi alla reputazione che le violazioni dei dati possono causare, il settore della stampa deve mantenere un livello di sicurezza più elevato che mai. Le società operanti nel settore della stampa devono introdurre misure tecniche e organizzative adeguate per garantire un livello di sicurezza in linea con il rischio.

Con l’introduzione dell’Internet delle cose (Internet of Things - IoT) e di un maggior numero di dispositivi wireless in grado di accedere alle reti, sono emerse nuove minacce informatiche che possono colpire le tecnologie di stampa. Le stampanti moderne e i dispositivi intelligenti richiedono un approccio multilivello alla sicurezza, il quale includa prevenzione delle intrusioni, rilevazione dei dispositivi, rilevazione di dati e documenti e collaborazioni esterne con specialisti della sicurezza. La protezione dei dati personali, ad esempio attraverso la crittografia, è fondamentale. Quando i dati non servono più, devono essere cancellati in modo adeguato.

Inoltre, funzionalità quali il controllo degli accessi (assicurandosi che solo gli utenti autorizzati abbiano accesso ai dispositivi di stampa) e la stampa sicura (il rilascio dei documenti stampati solo dopo che l’utente ha immesso il proprio codice PIN) rispondono ai dubbi in termini di sicurezza.

Via via che l’attenzione alle misure di sicurezza diventa più onerosa, è probabile che gli accordi sui livelli di servizio in merito alla sicurezza (incluso l’impegno alla crittografia dei dati e all’autenticazione a due fattori) appaiano più frequentemente nei contratti.

5. Consolidamento della rete

Molti progetti di stampa transazionale ricorrono a più partner per le campagne di direct mail complesse (una società si occupa degli inserti, una delle lettere, una della fascicolazione, ecc.), con conseguente minore controllo dei contenuti e maggiore rischio di esposizione.

I requisiti del regolamento GDPR potrebbero significare un aumento del business per gli OEM di più grandi dimensioni. I clienti potrebbero preferire la sicurezza offerta da un singolo fornitore in grado di gestire elaboratori secondari distribuiti geograficamente, fornendo infrastrutture, sicurezza e reportistica automatizzata all’interno di un ambiente controllato.

Ora che il GDPR è in vigore, è necessario essere pronti ad affrontare i notevoli cambiamenti che introduce nel settore della stampa. È ora che le società operanti nel settore della stampa, tra le tante altre, valutino le proprie attività di elaborazione dei dati, chiedano consiglio agli esperti e sviluppino un approccio sistematico.

Contattaci

Contattaci ›

 

Declinazione di responsabilità

Il contenuto di questo articolo è fornito esclusivamente a scopo informativo generale e non deve essere utilizzato al posto di opinioni o consigli legali specifici. Xerox non si assume alcuna responsabilità in caso di azioni o mancate azioni in base ai contenuti del presente articolo.

Xerox utilizza un Core Privacy Team cross funzionale per garantire l’operatività in qualità di cittadino globale e fornitore di servizi. Riteniamo di essere in linea con gli obblighi di conformità nell’ambito del Regolamento generale sulla protezione dei dati UE.