Salesforce è costantemente impegnata per garantire la conformità dei clienti al Regolamento generale sulla protezione dei dati mediante solidi strumenti di tutela della privacy e protezione della sicurezza. A partire dal 25 maggio 2018, il Regolamento generale sulla protezione dei dati (GDPR) per la tutela della privacy estende il diritto alla privacy agli individui dell'Unione Europea (UE), imponendo nuovi obblighi a tutte le organizzazioni che vendono, tracciano o gestiscono dati personali UE.
Che cos'è il GDPR?
Il GDPR è una legge esaustiva per la protezione dei dati nella UE che aggiorna la legislazione esistente per rafforzare la protezione dei dati personali alla luce del rapido sviluppo tecnologico, dell'aumento della globalizzazione e della maggiore complessità del flusso dei dati personali a livello internazionale. Questa normativa sostituisce il mosaico delle leggi nazionali sulla protezione dei dati in vigore con un unico insieme di regole, applicabili direttamente in ciascuno Stato membro della UE.
Il GDPR regola il trattamento (ovvero la raccolta, l'archiviazione, il trasferimento o l'utilizzo) dei dati personali relativi agli individui nella UE. L'ambito di questa normativa riguarda tutte le organizzazioni che trattano dati personali di individui nella UE, incluso il tracciamento delle attività online di questi ultimi, indipendentemente dal fatto che tali organizzazioni siano fisicamente presenti o meno nella UE. È importante notare nel GDPR l'ampiezza del concetto di "dati personali", comprendente qualsiasi informazione correlata a un individuo identificato o identificabile (detto anche "interessato").
Misure di sicurezza e requisiti per la reportistica
Le organizzazioni devono applicare adeguate misure di sicurezza tecniche e organizzative per proteggere i dati personali dal trattamento non autorizzato, dalla divulgazione e dall'accesso accidentali e da smarrimento, distruzione o alterazione. A seconda dei casi d'uso specifici e dal tipo di dati personali trattati, è consigliato, e talvolta obbligatorio, l'impiego di tecniche di segregazione, crittografia, pseudonimizzazione e anonimizzazione dei dati per rafforzarne la protezione.
È importante notare che, secondo il GDPR, i titolari del trattamento dei dati devono denunciare all'autorità competente in materia di protezione dei dati qualsiasi violazione, al più presto, e comunque non oltre le 72 ore successive alla scoperta della violazione stessa, a meno che non risulti improbabile che quest'ultima possa causare danni di qualsiasi tipo agli interessati. Se il rischio di danni è elevato, i titolari del trattamento devono segnalare le violazioni agli interessati il prima possibile. Anche i responsabili del trattamento dei dati devono informare delle violazioni i titolari del trattamento il prima possibile.
Quali misure di sicurezza devono essere applicate in base al GDPR?
Crittografia
Anche se non la rende obbligatoria, il regolamento invita ad applicare la crittografia in quanto metodo efficace per garantire la sicurezza e la riservatezza dei dati personali.
Pseudonimizzazione
Il GDPR invita le organizzazioni a utilizzare la pseudonimizzazione come misura basata sul rischio per proteggere la sicurezza dei dati e i diritti degli individui.
Anonimizzazione
Un livello sopra la pseudonimizzazione si trova l'anonimizzazione dei dati, il metodo più sicuro per proteggere i dati personali. Perché i dati siano considerati realmente anonimizzati, deve essere impossibile identificare chiunque in base ai dati, indipendentemente dal trattamento a cui questi vengano ulteriormente sottoposti e dalle informazioni a cui vengano combinati.
Responsabilità
Per il GDPR, il titolare del trattamento dei dati ha la responsabilità di implementare misure atte ad assicurare che i dati personali sotto la sua custodia vengano gestiti in conformità ai principi del regolamento stesso. Tale responsabilità prevede la nomina di un responsabile della protezione dei dati, l'imposizione di obblighi contrattuali ai responsabili del trattamento e l'applicazione dei principi di "privacy by design" e "privacy by default". Inoltre, il titolare del trattamento dei dati deve essere in grado di dimostrare la conformità, conservando registrazioni delle attività di trattamento e conducendo valutazioni di impatto sulla privacy.
Trailhead UE: scopri il GDPR e come raggiungere la conformità
Segui il modulo di base sulla legge UE sulla privacy per apprendere i principi chiave del GDPR e implementare un programma di conformità al regolamento.
Trailhead USA: scopri la normativa USA sulla privacy e come raggiungere la conformità
Segui il modulo di base sulla normativa USA sulla privacy per informarti sulla protezione della privacy negli USA per i settori sanitario, finanziario e legale in ambito statale.
California Consumer Privacy Act
Il California Consumer Privacy Act ("CCPA") è una legge esaustiva sulla privacy in vigore dal 1° gennaio 2020. Siamo convinti della necessità di una legge federale sulla privacy, perché il diritto alla riservatezza di ognuno non dipenda dal suo codice postale, ma valutiamo positivamente l'entrata in vigore del CCPA perché rappresenta un passo avanti nella definizione dei requisiti per la protezione dei dati negli Stati Uniti e costituisce un'opportunità per Salesforce di consolidare il proprio impegno per la protezione della privacy e dei dati.