GDPR per gli enti di formazione che utilizzano Digiforma


Introduzione al GDPR

Il Regolamento generale sulla protezione dei dati (“GDPR” UE 2016/679) è un regolamento europeo che disciplina la raccolta, il trattamento e l’utilizzo dei dati personali. È entrato in vigore il 25 maggio 2018 e si applica a tutti gli enti di formazione, indipendentemente dalle loro dimensioni o dalla loro ubicazione.

Il GDPR mira a rafforzare i diritti delle persone interessate dal trattamento dei loro dati personali e a responsabilizzare maggiormente gli enti di formazione.


Cos’è un dato personale?

I dati personali sono tutte quelle informazioni relative a una persona fisica identificabile, direttamente o indirettamente. Possono essere informazioni come nome, indirizzo, numero di telefono, indirizzo e-mail, codice fiscale, dati sanitari, abitudini di consumo, cronologia di navigazione in Internet, ecc.

 

Gli enti di formazione raccolgono ed elaborano i dati personali dei loro clienti, studenti, formatori e altri soggetti interessati. Questi dati vengono utilizzati per vari scopi, quali :

 

  • la gestione delle iscrizioni e delle presenze ai corsi
  • la fatturazione
  • la comunicazione
  • la ricerca di clienti
  • la valutazione del corso

I principi fondamentali del GDPR

I principi generali relativi al trattamento dei dati personali sono definiti nell’articolo 5 del GDPR.

 

Essi costituiscono la base del GDPR e devono essere rispettati da qualsiasi responsabile del trattamento dei dati personali, ossia da qualsiasi persona fisica o giuridica che determini le finalità e i mezzi del trattamento.

 

I sei principi sono i seguenti:

 

Liceità, correttezza e trasparenza: le persone devono essere informate dell’esistenza del trattamento e delle sue finalità e devono aver dato il loro consenso o il trattamento deve avere un’altra base giuridica.

Finalità: i dati personali devono essere raccolti solo per finalità specifiche, esplicite e legittime.

Minimizzazione dei dati: i dati personali raccolti devono essere adeguati, pertinenti e non eccessivi rispetto alle finalità per cui vengono raccolti.

 

Accuratezza: i dati personali devono essere accurati e, se necessario, aggiornati.

 

Limitazione della conservazione: i dati personali non devono essere conservati per un periodo superiore a quello necessario per gli scopi per cui sono stati raccolti.

 

Integrità e riservatezza: i dati personali devono essere trattati in modo da garantirne la sicurezza, la riservatezza e l’integrità.

 

Infine, il titolare del trattamento deve essere in grado di dimostrare il rispetto di questi obblighi. Una novità del GDPR è che i responsabili del trattamento non sono più tenuti a presentare una dichiarazione alla CNIL.

La conformità al GDPR per un ente di formazione

Ecco un breve elenco dei vari punti da affrontare per implementare il GDPR nella vostra organizzazione.

Per informazioni più complete, vi consigliamo di consultare le eccellenti guide della CNIL sull’argomento.


Un ente di formazione è interessato al GDPR?

Sì! 

L’implementazione del GDPR è un processo interno alla vostra organizzazione. Non è sufficiente “utilizzare un software conforme al GDPR”. Dovete mettere in atto una politica per la raccolta e la gestione responsabile dei dati personali dei vostri clienti e apprendisti, che memorizzate su vari supporti ed elaborate.

Digiforma è uno dei supporti su cui memorizzate questi dati ed è quindi responsabile dell’attuazione del GDPR in qualità di subappaltatore. Offriamo diverse funzioni descritte di seguito per facilitarvi la vita in questo senso. In pratica, la centralizzazione dei dati in un numero minimo di strumenti vi semplificherà la vita.

La maggior parte delle attività quotidiane svolte da un ente di formazione per l’erogazione operativa dei corsi di formazione non pone particolari problemi di conformità al GDPR. 

Dovrete prestare attenzione alla sicurezza, limitare la raccolta dei dati al minimo indispensabile e per un periodo limitato, e consentire ai clienti e agli studenti di richiedere il recupero e la distruzione di questi dati.

Inoltre, dovrete prestare particolare attenzione all’utilizzo dei dati a fini commerciali. È nello spirito stesso del GDPR combattere gli abusi su questo punto. Se utilizzate i dati che vi sono stati affidati per la formazione per altri scopi, dovrete assolutamente comunicare chiaramente questo trattamento e ottenere il consenso informato delle persone interessate.


Qual è il vostro ruolo e quello di Digiforma ?

È importante tenere a mente che l’ente di formazione è il titolare del trattamento dei dati e che Digiforma resta un subappaltatore dell’ente di formazione.


Quali sono gli obblighi di un ente di formazione ?

L’ente di formazione, in qualità di titolare del trattamento, stabilisce le finalità e i mezzi del trattamento dei dati personali.Il titolare del trattamento è responsabile del rispetto delle norme del GDPR in materia di trattamento dei dati personali.

In particolare, deve:

  • Ottenere il consenso degli interessati prima di raccogliere i loro dati personali.
  • Informare gli interessati sulle modalità di raccolta, utilizzo e conservazione dei loro dati.
  • Garantire la sicurezza dei dati personali
  • Limitare la raccolta dei dati personali a quanto necessario per le finalità del trattamento.
  • cancellare i dati personali quando il trattamento non è più necessario.

Il responsabile del trattamento può nominare un incaricato del trattamento – ad esempio Digiforma – per elaborare i dati personali per suo conto.

L’incaricato del trattamento è soggetto agli stessi obblighi di protezione dei dati del responsabile del trattamento.

Il responsabile del trattamento deve tenere un registro dei dati personali che tratta.

Tale registro deve indicare le finalità del trattamento, le categorie di dati personali interessati, i destinatari dei dati, la durata della conservazione dei dati e le misure di sicurezza adottate.

Il responsabile del trattamento deve anche rispondere alle richieste degli interessati relative ai loro dati personali. In particolare, deve fornire loro una copia dei loro dati personali, informarli su come vengono utilizzati e rispondere alle loro richieste di rettifica, cancellazione o limitazione del trattamento dei loro dati.

I responsabili del trattamento dei dati possono essere sanzionati dal Garante per la protezione dei dati personali (GPDP) se non rispettano il GDPR Le sanzioni possono arrivare fino al 2% del fatturato mondiale annuo dell’organizzazione o a 10 milioni di euro, se superiore.


Come si raccolgono i dati degli allievi?

Il GDPR (General Data Protection)

 è un regolamento dell’Unione Europea adottato il 27 aprile 2016 ed entrato in vigore il 25 maggio 2018. Il RGPD mira a rafforzare e unificare la protezione dei dati personali delle persone all’interno dell’UE.

 

Gli enti di formazione sono soggetti al RGPD nella misura in cui raccolgono e trattano i dati personali dei loro tirocinanti. Per dati personali si intendono tutte le informazioni relative a una persona fisica identificabile, come cognome, nome, indirizzo, numero di telefono, indirizzo e-mail, ecc.

Per conformarsi al GDPR, gli enti di formazione devono rispettare una serie di obblighi, tra cui:

  • Ottenere il consenso dei tirocinanti prima di raccogliere e trattare i loro dati personali.

  • Informare i tirocinanti sulle modalità di raccolta, utilizzo e conservazione dei loro dati personali.

  • Limitare la raccolta e l’elaborazione dei dati personali a quanto necessario per le finalità per cui vengono raccolti.

  • Garantire la sicurezza dei dati personali

  • Cancellare i dati personali dei tirocinanti quando non sono più necessari per le finalità per cui sono stati raccolti.


È necessario nominare un responsabile GDPR?

È fondamentale nominare una persona all’interno dell’organizzazione formativa, che sia responsabile dell’attuazione della politica di protezione dei dati personali all’interno dell’organizzazione. Questa persona deve avere lo status e le competenze adeguate.

Il DPO (Data Protection Officer) o RPD (Responsabile della Protezione dei Dati) è la persona incaricata di attuare la politica di protezione dei dati personali e di garantire l’effettiva protezione dei dati personali all’interno dell’organizzazione.

La nomina di un responsabile della protezione dei dati è obbligatoria per alcune organizzazioni, come gli enti pubblici.

Anche se non esiste un obbligo legale in tal senso, la nomina di un responsabile della protezione dei dati è molto importante per qualsiasi azienda.

Il DPO può essere interno o esterno e deve avere lo status e le competenze adeguate.


Due procedure da mettere in atto nel vostro ente di formazione

Consigliamo di mettere in atto due procedure per gestire le violazioni dei dati e le richieste di esercizio dei diritti da parte degli allievi. 

Qual è la procedura da seguire in caso di violazione dei dati?

Le organizzazioni che trattano dati personali (responsabili o incaricati del trattamento) devono pianificare e attuare procedure complete per gestire le violazioni dei dati personali. 

 

Tali procedure devono coprire l’intero processo: l’attuazione di misure volte a rilevare immediatamente una violazione, a contenerla rapidamente, ad analizzare i rischi generati dall’incidente e a determinare se notificare l’autorità di controllo o addirittura gli interessati. Queste procedure contribuiscono quindi a documentare la conformità al GDPR.

 

Non tutte le violazioni devono essere notificate all’autorità di controllo o agli interessati. Laddove necessario, tuttavia, il titolare del trattamento dovrebbe considerare prioritario informare gli interessati, in quanto ciò consentirà loro di adottare misure per proteggersi da tali rischi.

 

L’obbligo di notifica dipende dal rischio che la violazione dei dati personali comporta per i diritti e le libertà delle persone i cui dati sono stati colpiti:

Se la violazione non comporta alcun rischio per i diritti e le libertà degli interessati, il responsabile del tratta :

  • Deve documentare la violazione internamente sotto forma di registro;
  • Non deve segnalare questa violazione alla GPDP, che può tuttavia verificare la documentazione interna, o alle persone interessate.

Se la violazione comporta un rischio per i diritti e libertà delle persone interessate, il responsabile del trattamento :

  • Deve documentare la violazione internamente sotto forma di registro ;
  • Deve segnalare questa violazione alla GPDP, il prima possibile ed entro un massimo di 72 ore.

Se la violazione comporta un rischio elevato per i diritti e le libertà delle persone coinvolte, il responsabile del trattamento deve :  

  • Deve documentare la violazione internamente, sotto forma di registro;
  • Deve segnalare questa violazione alla GPDP, il prima possibile entr un massimo di 72 ore ;
  • Deve notificare la violazione alle persone interessate, il prima possibile 

Qual è la procedura da seguire nel caso in cui uno studente chieda di esercitare i propri diritti GDPR?

Uno studente, come qualsiasi altra persona interessata dal trattamento dei dati personali ha accesso ad una serie di diritti (diritti di accesso, rettifica, di reclamo presso la GPDP, e, a determinate condizioni, diritto di cancellazione, limitazione, opposizione, revoca del consenso e opposizione al trattamento dei dati per finalità di marketing). 

Per esercitare tali diritti, si prega di inviare una richiesta scritta con le informazioni necessarie (dati di contatto completi e copia del documento di identità) per posta o per e-mail. 

Il titolare del trattamento ha un mese di tempo per rispondere. Se per qualsiasi motivo non è in grado di soddisfare una richiesta, deve spiegare all’interessato perché la sua richiesta è stata respinta.


Conformità di Digiforma al GDPR


Il contatto di riferimento del GDPR: il responsabile della protezione dei dati RPD o DPO

Digiforma ha nominato lo Studio xDPO come responsabile della protezione dei dati (DPO) che potete contattare in caso di domande sul GDP all’indirizzo rgpd@aworldforus.com

Il responsabile della protezione dei dati (DPO) è una persona responsabile della protezione dei dati personali all’interno di un’organizzazione. Il DPO ha la responsabilità di garantire che l’organizzazione sia conforme a tutte le leggi e i regolamenti applicabili in materia di protezione dei dati..

Il DPO deve svolgere una serie di compiti, tra cui :

  • Consigliare l’organizzazione sulle migliori pratiche in materia di protezione dei dati;
  • Supervisionare l’attuazione delle politiche e delle procedure di protezione dei dati;
  • Formare i dipendenti sulla protezione dei dati;
  • Rispondere alle richieste degli interessati in merito ai loro dati personali;
  • Coordinarsi con le autorità preposte alla protezione dei dati 

Il DPO svolge un ruolo importante nella protezione dei dati personali delle persone. Assicurandosi che l’organizzazione sia conforme a tutte le leggi e i regolamenti applicabili, il DPO contribuisce a garantire che i dati personali siano raccolti, utilizzati e conservati in modo sicuro e conforme alla legge.

Il ruolo del DPO è definito dal Regolamento generale sulla protezione dei dati (GDPR). Il GDPR impone a tutte le organizzazioni che trattano dati personali di persone situate nell’Unione Europea di nominare un DPO se soddisfano determinati criteri, in particolare se trattano dati sensibili o su larga scala.


I dati personali trattati da digiforma

Digiforma tratta due tipi di dati personali dei suoi clienti :

I dati degli utenti

I quali sono visibili e modificabili nel proprio account Digiforma. I dati richiesti in un account utente sono quelli legittimamente necessari per il funzionamento del servizio. Gli utenti possono esportare i propri dati dal proprio account e richiedere la cancellazione definitiva del proprio account contattandoci all’indirizzo rgpd@aworldforus.com.

I dati degli studenti

Digiforma offre diverse modalità di archiviazione dei dati relativi agli apprendisti (campi modificabili, caricamento di file, note). L’unico dato richiesto dal software è il cognome. Gli altri dati devono essere raccolti e memorizzati solo se necessari per la vostra attività.

Se uno dei vostri apprendisti vi chiede di esportare o cancellare i suoi dati personali, ci sono diverse funzioni che potete utilizzare nel vostro account Digiforma.

È possibile esportare i dati personali di uno studente in formato Excel dal suo file nel software..

È possibile anonimizzare i dati personali degli studenti dal loro file nel proprio account Digiforma. L’anonimizzazione consente di preservare il rapporto pedagogico e finanziario e la propria storia. Il nome del tirocinante sarà sostituito da un codice e tutte le informazioni personali (nome, indirizzo, ecc.) saranno definitivamente cancellate..


Misure tecniche di protezione dei dati presi da digiforma

Tutti gli scambi di dati tra il browser web e il server Digiforma sono criptati con il protocollo SSL.

I dati del vostro conto possono essere consultati solo utilizzando il vostro login e la vostra password. 

I server di Digiforma sono situati in Europa (Irlanda) nel datacenter AWS tramite il provider di hosting di applicazioni web Heroku. Questo datacenter è certificato ISO 27001, SOC 1 e SOC 2/SSAE 16/ISAE 3402. I database sono costantemente protetti da back-up fisici e i dati sono crittografati su disco con AES-256.

Utilizziamo soluzioni cloud per gestire o comunicare con i nostri clienti. L’elenco delle soluzioni utilizzate è riportato nella nostra Informativa sulla riservatezza e sull’uso dei dati personali.

Quando utilizziamo una soluzione che trasferisce dati personali negli Stati Uniti, ci assicuriamo che siano state sottoscritte clausole contrattuali standard (SCC) o che l’editore della soluzione sia firmatario del Data Privacy Framework adottato dalla Commissione europea il 13 luglio 2023.

Consultate gli editori di soluzioni che hanno sottoscritto il Data Privacy Framework:
https://www.dataprivacyframework.gov/s/participant-search

La decisione di adeguatezza convalidata dalla Commissione europea:

https://www.cnil.fr/fr/transferts-de-donnees-vers-les-etats-unis-la-commission-europeenne-adopte-une-nouvelle-decision


Dove vengono ospitati i dati Digiforma ?

I server di Digiforma si trovano in Europa (Irlanda) nel datacenter AWS tramite il provider di hosting di applicazioni web Heroku.


Gli host sono conformi al gdpr?

Sì!

Tutti i dati Digiforma trasferiti al centro dati europeo sono protetti da diverse misure tecniche e organizzative. 

La conformità GDPR del nostro host AWS è descritta qui:
https://aws.amazon.com/fr/compliance/gdpr-center/

La conformità al GDPR del nostro provider di hosting Heroku è descritta qui:
https://devcenter.heroku.com/articles/gdpr


Quali misure tecniche sono state implementate? 

Tutti gli scambi di dati tra il browser web e il server Digiforma sono criptati con il protocollo SSL.

I dati del vostro conto sono accessibili solo con il vostro login e la vostra password. I dati sono ospitati in un centro dati certificato ISO 27001, SOC 1 e SOC 2/SSAE 16/ISAE 3402.

I database sono costantemente protetti da back-up fisici e i dati sono crittografati su disco con AES-256.

Prova la nuovissima versione di Digiforma TMS e diventa un esperto nella gestione della formazione

Software gestionale formazione
Digiforma

Tutto il potenziale della tecnologia digitale per il tuo business