Home GDPR per gli enti di formazione che utilizzano Digiforma
Il Regolamento generale sulla protezione dei dati (“GDPR” UE 2016/679) è un regolamento europeo che disciplina la raccolta, il trattamento e l’utilizzo dei dati personali. È entrato in vigore il 25 maggio 2018 e si applica a tutti gli enti di formazione, indipendentemente dalle loro dimensioni o dalla loro ubicazione.
Il GDPR mira a rafforzare i diritti delle persone interessate dal trattamento dei loro dati personali e a responsabilizzare maggiormente gli enti di formazione.
I dati personali sono tutte quelle informazioni relative a una persona fisica identificabile, direttamente o indirettamente. Possono essere informazioni come nome, indirizzo, numero di telefono, indirizzo e-mail, codice fiscale, dati sanitari, abitudini di consumo, cronologia di navigazione in Internet, ecc.
Gli enti di formazione raccolgono ed elaborano i dati personali dei loro clienti, studenti, formatori e altri soggetti interessati. Questi dati vengono utilizzati per vari scopi, quali :
I principi generali relativi al trattamento dei dati personali sono definiti nell’articolo 5 del GDPR.
Essi costituiscono la base del GDPR e devono essere rispettati da qualsiasi responsabile del trattamento dei dati personali, ossia da qualsiasi persona fisica o giuridica che determini le finalità e i mezzi del trattamento.
I sei principi sono i seguenti:
Liceità, correttezza e trasparenza: le persone devono essere informate dell’esistenza del trattamento e delle sue finalità e devono aver dato il loro consenso o il trattamento deve avere un’altra base giuridica.
Finalità: i dati personali devono essere raccolti solo per finalità specifiche, esplicite e legittime.
Minimizzazione dei dati: i dati personali raccolti devono essere adeguati, pertinenti e non eccessivi rispetto alle finalità per cui vengono raccolti.
Accuratezza: i dati personali devono essere accurati e, se necessario, aggiornati.
Limitazione della conservazione: i dati personali non devono essere conservati per un periodo superiore a quello necessario per gli scopi per cui sono stati raccolti.
Integrità e riservatezza: i dati personali devono essere trattati in modo da garantirne la sicurezza, la riservatezza e l’integrità.
Infine, il titolare del trattamento deve essere in grado di dimostrare il rispetto di questi obblighi. Una novità del GDPR è che i responsabili del trattamento non sono più tenuti a presentare una dichiarazione alla CNIL.
La conformità al GDPR per un ente di formazione
Ecco un breve elenco dei vari punti da affrontare per implementare il GDPR nella vostra organizzazione.
Per informazioni più complete, vi consigliamo di consultare le eccellenti guide della CNIL sull’argomento.
Sì!
L’implementazione del GDPR è un processo interno alla vostra organizzazione. Non è sufficiente “utilizzare un software conforme al GDPR”. Dovete mettere in atto una politica per la raccolta e la gestione responsabile dei dati personali dei vostri clienti e apprendisti, che memorizzate su vari supporti ed elaborate.
Digiforma è uno dei supporti su cui memorizzate questi dati ed è quindi responsabile dell’attuazione del GDPR in qualità di subappaltatore. Offriamo diverse funzioni descritte di seguito per facilitarvi la vita in questo senso. In pratica, la centralizzazione dei dati in un numero minimo di strumenti vi semplificherà la vita.
La maggior parte delle attività quotidiane svolte da un ente di formazione per l’erogazione operativa dei corsi di formazione non pone particolari problemi di conformità al GDPR.
Dovrete prestare attenzione alla sicurezza, limitare la raccolta dei dati al minimo indispensabile e per un periodo limitato, e consentire ai clienti e agli studenti di richiedere il recupero e la distruzione di questi dati.
Inoltre, dovrete prestare particolare attenzione all’utilizzo dei dati a fini commerciali. È nello spirito stesso del GDPR combattere gli abusi su questo punto. Se utilizzate i dati che vi sono stati affidati per la formazione per altri scopi, dovrete assolutamente comunicare chiaramente questo trattamento e ottenere il consenso informato delle persone interessate.
È importante tenere a mente che l’ente di formazione è il titolare del trattamento dei dati e che Digiforma resta un subappaltatore dell’ente di formazione.
L’ente di formazione, in qualità di titolare del trattamento, stabilisce le finalità e i mezzi del trattamento dei dati personali.Il titolare del trattamento è responsabile del rispetto delle norme del GDPR in materia di trattamento dei dati personali.
In particolare, deve:
Il responsabile del trattamento può nominare un incaricato del trattamento – ad esempio Digiforma – per elaborare i dati personali per suo conto.
L’incaricato del trattamento è soggetto agli stessi obblighi di protezione dei dati del responsabile del trattamento.
Il responsabile del trattamento deve tenere un registro dei dati personali che tratta.
Tale registro deve indicare le finalità del trattamento, le categorie di dati personali interessati, i destinatari dei dati, la durata della conservazione dei dati e le misure di sicurezza adottate.
Il responsabile del trattamento deve anche rispondere alle richieste degli interessati relative ai loro dati personali. In particolare, deve fornire loro una copia dei loro dati personali, informarli su come vengono utilizzati e rispondere alle loro richieste di rettifica, cancellazione o limitazione del trattamento dei loro dati.
I responsabili del trattamento dei dati possono essere sanzionati dal Garante per la protezione dei dati personali (GPDP) se non rispettano il GDPR Le sanzioni possono arrivare fino al 2% del fatturato mondiale annuo dell’organizzazione o a 10 milioni di euro, se superiore.
Il GDPR (General Data Protection)
è un regolamento dell’Unione Europea adottato il 27 aprile 2016 ed entrato in vigore il 25 maggio 2018. Il RGPD mira a rafforzare e unificare la protezione dei dati personali delle persone all’interno dell’UE.
Gli enti di formazione sono soggetti al RGPD nella misura in cui raccolgono e trattano i dati personali dei loro tirocinanti. Per dati personali si intendono tutte le informazioni relative a una persona fisica identificabile, come cognome, nome, indirizzo, numero di telefono, indirizzo e-mail, ecc.
Per conformarsi al GDPR, gli enti di formazione devono rispettare una serie di obblighi, tra cui:
Ottenere il consenso dei tirocinanti prima di raccogliere e trattare i loro dati personali.
Informare i tirocinanti sulle modalità di raccolta, utilizzo e conservazione dei loro dati personali.
Limitare la raccolta e l’elaborazione dei dati personali a quanto necessario per le finalità per cui vengono raccolti.
Garantire la sicurezza dei dati personali
Cancellare i dati personali dei tirocinanti quando non sono più necessari per le finalità per cui sono stati raccolti.
È fondamentale nominare una persona all’interno dell’organizzazione formativa, che sia responsabile dell’attuazione della politica di protezione dei dati personali all’interno dell’organizzazione. Questa persona deve avere lo status e le competenze adeguate.
Il DPO (Data Protection Officer) o RPD (Responsabile della Protezione dei Dati) è la persona incaricata di attuare la politica di protezione dei dati personali e di garantire l’effettiva protezione dei dati personali all’interno dell’organizzazione.
La nomina di un responsabile della protezione dei dati è obbligatoria per alcune organizzazioni, come gli enti pubblici.
Anche se non esiste un obbligo legale in tal senso, la nomina di un responsabile della protezione dei dati è molto importante per qualsiasi azienda.
Il DPO può essere interno o esterno e deve avere lo status e le competenze adeguate.
Consigliamo di mettere in atto due procedure per gestire le violazioni dei dati e le richieste di esercizio dei diritti da parte degli allievi.
Qual è la procedura da seguire in caso di violazione dei dati?
Le organizzazioni che trattano dati personali (responsabili o incaricati del trattamento) devono pianificare e attuare procedure complete per gestire le violazioni dei dati personali.
Tali procedure devono coprire l’intero processo: l’attuazione di misure volte a rilevare immediatamente una violazione, a contenerla rapidamente, ad analizzare i rischi generati dall’incidente e a determinare se notificare l’autorità di controllo o addirittura gli interessati. Queste procedure contribuiscono quindi a documentare la conformità al GDPR.
Non tutte le violazioni devono essere notificate all’autorità di controllo o agli interessati. Laddove necessario, tuttavia, il titolare del trattamento dovrebbe considerare prioritario informare gli interessati, in quanto ciò consentirà loro di adottare misure per proteggersi da tali rischi.
L’obbligo di notifica dipende dal rischio che la violazione dei dati personali comporta per i diritti e le libertà delle persone i cui dati sono stati colpiti:
Se la violazione non comporta alcun rischio per i diritti e le libertà degli interessati, il responsabile del tratta :
Se la violazione comporta un rischio per i diritti e libertà delle persone interessate, il responsabile del trattamento :
Se la violazione comporta un rischio elevato per i diritti e le libertà delle persone coinvolte, il responsabile del trattamento deve :
Qual è la procedura da seguire nel caso in cui uno studente chieda di esercitare i propri diritti GDPR?
Uno studente, come qualsiasi altra persona interessata dal trattamento dei dati personali ha accesso ad una serie di diritti (diritti di accesso, rettifica, di reclamo presso la GPDP, e, a determinate condizioni, diritto di cancellazione, limitazione, opposizione, revoca del consenso e opposizione al trattamento dei dati per finalità di marketing).
Per esercitare tali diritti, si prega di inviare una richiesta scritta con le informazioni necessarie (dati di contatto completi e copia del documento di identità) per posta o per e-mail.
Il titolare del trattamento ha un mese di tempo per rispondere. Se per qualsiasi motivo non è in grado di soddisfare una richiesta, deve spiegare all’interessato perché la sua richiesta è stata respinta.
Digiforma ha nominato lo Studio xDPO come responsabile della protezione dei dati (DPO) che potete contattare in caso di domande sul GDP all’indirizzo rgpd@aworldforus.com
Il responsabile della protezione dei dati (DPO) è una persona responsabile della protezione dei dati personali all’interno di un’organizzazione. Il DPO ha la responsabilità di garantire che l’organizzazione sia conforme a tutte le leggi e i regolamenti applicabili in materia di protezione dei dati..
Il DPO deve svolgere una serie di compiti, tra cui :
Il DPO svolge un ruolo importante nella protezione dei dati personali delle persone. Assicurandosi che l’organizzazione sia conforme a tutte le leggi e i regolamenti applicabili, il DPO contribuisce a garantire che i dati personali siano raccolti, utilizzati e conservati in modo sicuro e conforme alla legge.
Il ruolo del DPO è definito dal Regolamento generale sulla protezione dei dati (GDPR). Il GDPR impone a tutte le organizzazioni che trattano dati personali di persone situate nell’Unione Europea di nominare un DPO se soddisfano determinati criteri, in particolare se trattano dati sensibili o su larga scala.
Digiforma tratta due tipi di dati personali dei suoi clienti :
I dati degli utenti
I quali sono visibili e modificabili nel proprio account Digiforma. I dati richiesti in un account utente sono quelli legittimamente necessari per il funzionamento del servizio. Gli utenti possono esportare i propri dati dal proprio account e richiedere la cancellazione definitiva del proprio account contattandoci all’indirizzo rgpd@aworldforus.com.
I dati degli studenti
Digiforma offre diverse modalità di archiviazione dei dati relativi agli apprendisti (campi modificabili, caricamento di file, note). L’unico dato richiesto dal software è il cognome. Gli altri dati devono essere raccolti e memorizzati solo se necessari per la vostra attività.
Se uno dei vostri apprendisti vi chiede di esportare o cancellare i suoi dati personali, ci sono diverse funzioni che potete utilizzare nel vostro account Digiforma.
È possibile esportare i dati personali di uno studente in formato Excel dal suo file nel software..
È possibile anonimizzare i dati personali degli studenti dal loro file nel proprio account Digiforma. L’anonimizzazione consente di preservare il rapporto pedagogico e finanziario e la propria storia. Il nome del tirocinante sarà sostituito da un codice e tutte le informazioni personali (nome, indirizzo, ecc.) saranno definitivamente cancellate..
Tutti gli scambi di dati tra il browser web e il server Digiforma sono criptati con il protocollo SSL.
I dati del vostro conto possono essere consultati solo utilizzando il vostro login e la vostra password.
I server di Digiforma sono situati in Europa (Irlanda) nel datacenter AWS tramite il provider di hosting di applicazioni web Heroku. Questo datacenter è certificato ISO 27001, SOC 1 e SOC 2/SSAE 16/ISAE 3402. I database sono costantemente protetti da back-up fisici e i dati sono crittografati su disco con AES-256.
Utilizziamo soluzioni cloud per gestire o comunicare con i nostri clienti. L’elenco delle soluzioni utilizzate è riportato nella nostra Informativa sulla riservatezza e sull’uso dei dati personali.
Quando utilizziamo una soluzione che trasferisce dati personali negli Stati Uniti, ci assicuriamo che siano state sottoscritte clausole contrattuali standard (SCC) o che l’editore della soluzione sia firmatario del Data Privacy Framework adottato dalla Commissione europea il 13 luglio 2023.
Consultate gli editori di soluzioni che hanno sottoscritto il Data Privacy Framework:
https://www.dataprivacyframework.gov/s/participant-search
La decisione di adeguatezza convalidata dalla Commissione europea:
I server di Digiforma si trovano in Europa (Irlanda) nel datacenter AWS tramite il provider di hosting di applicazioni web Heroku.
Sì!
Tutti i dati Digiforma trasferiti al centro dati europeo sono protetti da diverse misure tecniche e organizzative.
La conformità GDPR del nostro host AWS è descritta qui:
https://aws.amazon.com/fr/compliance/gdpr-center/
La conformità al GDPR del nostro provider di hosting Heroku è descritta qui:
https://devcenter.heroku.com/articles/gdpr
Tutti gli scambi di dati tra il browser web e il server Digiforma sono criptati con il protocollo SSL.
I dati del vostro conto sono accessibili solo con il vostro login e la vostra password. I dati sono ospitati in un centro dati certificato ISO 27001, SOC 1 e SOC 2/SSAE 16/ISAE 3402.
I database sono costantemente protetti da back-up fisici e i dati sono crittografati su disco con AES-256.
Prova la nuovissima versione di Digiforma TMS e diventa un esperto nella gestione della formazione
Newsletter
Ricevi per primo le novità di Digiforma
"*" indicates required fields
I tuoi dati sono trattati in conformità con la nostra politica sulla privacy.
© 2009 – 2024 Un mondo per noi – Software di formazione professionale per organizzazioni e formatori | Tutti i diritti riservati | Condizioni d’uso | IInformativa sulla privacy | Avviso legale | Cookies