Manca poco all’introduzione del GDPR! Ecco come Docebo LMS è conforme al nuovo regolamento
Il Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea (UE) entrerà in vigore a partire dal 25 maggio 2018. Che impatto avrà sulla tua formazione eLearning l’introduzione di questa nuova normativa?
Se utilizzi un LMS e uno qualsiasi dei tuoi utenti (dipendenti, partner e clienti) si trova nell’Unione Europea, dovrai assicurarti che la raccolta dei dati e le attività di elaborazione eseguite all’interno del tuo LMS siano conformi al nuovo regolamento, anche se la tua organizzazione non ha sede in UE. La non conformità ha un prezzo elevato, quindi è nel tuo interesse collaborare con un fornitore di LMS che garantisca una piena, facile ed efficace conformità al GDPR.
Docebo è consapevole dei requisiti e delle restrizioni imposte dal GDPR, e sarà pienamente conforme al regolamento che entrerà in vigore il prossimo 25 maggio. Abbiamo anche implementato tutte le misure necessarie per garantire ai nostri utenti la conformità al GDPR in modo facile ed efficiente.
Come sono definiti i dati personali nel GDPR
L’obiettivo del GDPR è di rafforzare i diritti dei cittadini dell’UE nell’ambito delle modalità di utilizzo e di protezione dei loro dati personali. La legislazione introduce requisiti rigorosi che innalzano e armonizzano le norme in materia di protezione, sicurezza e conformità dei dati in tutta l’UE.
Per dati personali si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile (persona interessata), ad esempio:
- nome
- numero di identificazione
- dati relativi all’ubicazione
- identificatore online
- altri fattori specifici (legati all’identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale della persona interessata)
Titolare del trattamento e Responsabile del trattamento
- Il Titolare è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo, da solo o insieme ad altri, che determina le finalità e le modalità del trattamento dei dati personali.
- Il Responsabile del trattamento è la persona fisica o giuridica, l’autorità pubblica, il soggetto incaricato del trattamento o altro organismo che elabora i dati per conto del titolare del trattamento.
Le finalità e le modalità del trattamento dei dati personali relativi agli utenti finali della piattaforma di Docebo sono definite dai clienti di Docebo, che agiscono in qualità di Titolari del trattamento e devono pertanto informare gli utenti finali in merito alle finalità, alle modalità e ai motivi del trattamento dei dati raccolti.
In questo scenario, Docebo svolge il ruolo di Responsabile, fornendo l’utilizzo della piattaforma LMS e di uno strumento attraverso il quale i nostri clienti possono raccogliere i dati dei loro utenti. L’elaborazione dei dati dei clienti da parte di Docebo può essere disciplinata da un contratto ai sensi dell’appendice per l’elaborazione dei dati (DPA) di Docebo, che soddisfa i requisiti di cui all’articolo 28 del GDPR.
Titolari e Responsabili sono inoltre tenuti ad attuare le opportune misure tecniche e organizzative, che includono:
- Pseudonimizzazione e crittografia dei dati personali
- Riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento
- Ripristino tempestivo della disponibilità e dell’accesso ai dati personali in caso di incidente fisico o tecnico
- Processo per testare, valutare e valutare regolarmente l’efficacia delle misure tecniche e organizzative
Soluzioni per la portabilità dei dati e strumenti di management
Il GDPR rafforza il principio dell’informativa in caso di consenso dell’utente finale, che deve essere “libera, informata e priva di ambiguità”.
Il linguaggio utilizzato per richiedere il consenso dei propri utenti deve essere chiaro e comprensibile (Docebo consente di personalizzare i moduli di richiesta dei dati), ovvero “chiaramente distinguibile da altre questioni”. I responsabili del trattamento sono inoltre tenuti a fornire prove della conformità dei loro processi e a seguire i processi del GDPR in ogni caso in cui gli interessati siano invitati a fornire informazioni per accedere all’LMS.
Per questo motivo, è essenziale comprendere quale impatto avrà il nuovo regolamento sulla protezione dei dati sulla tua piattaforma eLearning. Il GDPR introduce infatti nuovi diritti che si applicheranno al tuo Learning Management System. Per garantire la conformità (e per evitare le eventuali sanzioni legate alla non conformità), è dunque essenziale conoscere questi diritti.
- Il diritto di accesso: Le persone interessate avranno il diritto di accedere a qualsiasi dato personale e di conoscere e verificare la legittimità del trattamento di tali dati. Agli utenti che lo richiederanno, dovrai fornire tutte le informazioni e i loro dati personali raccolti nel tuo LMS (come record di attività formative e valutazioni di performance).
- Il diritto di rettifica: Consente agli utenti di accedere ai dati raccolti, nel caso questi siano imprecisi o incompleti. Ad esempio, un utente può essere in grado di dimostrare di aver completato un corso di eLearning, sebbene il completamento non sia riconosciuto dall’LMS. Pertanto, dovrai dare a tale utente la possibilità di correggere i dati, nel caso si rivelino errati. Inoltre, se tali dati sono stati condivisi con terzi, dovrai informarli in merito al fatto che questi dati saranno aggiornati.
- Diritto all’oblio: le persone interessate (ad esempio gli utenti della tua piattaforma eLearning) possono ottenere la rimozione o la cancellazione delle loro informazioni personali, laddove non vi siano motivi impellenti che inducano un’azienda a continuare il trattamento di tali informazioni.
- Diritto alla portabilità dei dati: Consente alle persone di ottenere e riutilizzare i propri dati personali per le proprie finalità attraverso diversi servizi, per spostare, copiare o trasferire dati personali facilmente da un ambiente informatico all’altro in modo sicuro, senza ostacoli all’usabilità. Se un utente vuole riutilizzare i propri dati, dovrai fornire questi dati (in formato strutturato e di uso comune, come un file CSV, che possa essere esportato direttamente dall’LMS).
- Il diritto di opposizione: Il GDPR dà agli utenti LMS il diritto di opporsi all’utilizzo di qualsiasi dato personale a fini di marketing diretto, definizione di profili o elaborazione a fini di ricerca o statistica. Ciò significa che è necessario dare agli utenti del tuo LMS uno strumento di opt-out (deroga o rinuncia) per le comunicazioni di marketing, ogni qual volta che richiederai i loro dati personali. Tale diritto deve essere chiaramente presentato alla prima richiesta di informazioni personali da parte dell’utente e deve essere indicato nell’informativa sulla privacy. È necessario includere espliciti riferimenti a qualsiasi altro motivo per la raccolta di dati personali sul tuo LMS.
- Diritto di non essere soggetto a decisioni individuali automatizzate che producano effetti giuridici o significativi: È vietata qualsiasi attività di trattamento interamente automatizzata che porti a decisioni che abbiano un impatto sulle persone in modo sufficientemente significativo, a meno che tale trattamento non possa essere giustificato in base a una delle tre basi previste come eccezioni dall’articolo 22, paragrafo 2, ossia: l’esecuzione di un contratto, autorizzata dalla legge, o il consenso esplicito. Ad esempio: uno dei tuoi utenti è tenuto a mantenere aggiornato un corso di formazione compliance come requisito lavorativo presso la tua azienda. È giunto il momento di rinnovare la certificazione di conformità, ma il sistema riconosce che lo studente non ha completato la formazione e termina automaticamente il suo rapporto di lavoro. Secondo il GDPR, l’utente potrebbe impugnare la decisione e richiedere l’intervento umano, poiché la decisione può avere implicazioni significative per la sua vita.
Trattamento dei dati personali nell’ambito del GDPR
Ai sensi del GDPR, la Persona Interessata è la persona fisica identificata o identificabile, vale a dire la persona fisica alla quale sono collegati i dati personali.
L’adozione di tali misure deve essere valutata e contestualizzata tenendo conto dello stato dell’arte, dei costi di attuazione e della natura, dell’ambito, del contesto e delle finalità del trattamento, nonché del rischio di variazione della probabilità e della gravità dei diritti e delle libertà delle persone fisiche.
Il GDPR introduce inoltre i concetti di Privacy by Design e Privacy by Default.
- Secondo il principio di Privacy by Design, le organizzazioni devono tener conto della tutela della privacy nelle fasi iniziali della progettazione e durante l’intero processo di sviluppo di nuovi prodotti, processi o servizi che comportano il trattamento di dati personali.
- Il principio di Privacy by Default stabilisce che per impostazione predefinita le aziende devono trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini.
Inoltre, i Responsabili del trattamento devono segnalare le violazioni dei dati personali all’autorità di controllo competenti entro 72 ore. Se vi è un rischio elevato per i diritti e le libertà degli interessati, questi devono inoltre informare le persone interessate.
Come Docebo LMS è conforme al GDPR
Docebo dispone di un sistema di gestione della sicurezza delle informazioni (“ISMS”), certificato ISO 27001. In questo contesto, Docebo ha definito un programma completo per la sicurezza delle informazioni (che include controlli implementati in conformità con ISO 27001 e AICPA SOC 2), per garantire che Docebo, in qualità di fornitore di servizi, gestisca in modo sicuro i dati dei clienti e che i controlli di sicurezza implementati dall’azienda siano efficaci nel proteggere i dati degli utenti, fornendo un’adeguata copertura dell’articolo 32 del GDPR.
Docebo permette ai propri utenti di ottenere la conformità al GDPR compliance attraverso:
- Funzionalità e strumenti dell’LMS
- Compliance Framework
- ISO 27001
- AICPA SOC 2
- EU-US and Swiss-US Privacy Shield
- Data Protection Addendum
GDPR: In conclusione
Se la tua azienda utilizza Docebo LMS e opera nell’UE (o i tuoi utenti sono in UE), hai a disposizione tutti gli strumenti necessari per essere conforme al GDPR. Anche se la nostra piattaforma eLearning fornisce gli strumenti necessari per soddisfare i requisiti del GDPR, sarà comunque necessario utilizzarli correttamente per garantire la conformità e che ogni processo sia perfettamente in linea con la normativa.
Ci impegniamo a garantire che i nostri clienti ottengano tutte le risposte a qualsiasi domanda sulla conformità al GDPR all’interno del nostro Learning Management System (LMS). Se hai ulteriori domande o dubbi sul GDPR, non esitare a contattarci!
Disclaimer: Le informazioni contenute in questa pagina non costituiscono una consulenza legale da utilizzare per la conformità alle leggi UE sulla privacy dei dati come il GDPR. Il contenuto di questa pagina è inteso solo per scopi educativi ed è volto a fornire informazioni di base, che aiutino a comprendere meglio in che modo docebo è conforme al regolamento.Se hai ulteriori domande o dubbi sul GDPR, non esitare a contattarci!