Privacy

Il regolamento generale sulla protezione dei dati (GDPR) ha un considerevole impatto sulla raccolta e l’uso di dati personali dei soggetti UE interessati (individui all’interno dell’Unione Europea). Oltre a consolidare i diritti degli interessati all’interno dell’UE, incrementa le aspettative sulla protezione dei dati e fornisce alle autorità di controllo la possibilità di imporne l’esecuzione, con sanzioni che possono arrivare al quattro per cento del fatturato annuo a livello mondiale. Cosa ancor più importante, il GDPR si applica a tutti coloro che raccolgono e trattano i dati personali dei residenti UE, anche qualora il trattamento avvenga al di fuori dell’Unione Europea. I nuovi requisiti riprendono la precedente Direttiva sulla protezione dei dati UE e richiedono l’ampliamento delle procedure e delle politiche già esistenti per la gestione Dati personali dei soggetti membri dell’Unione Europea interessati.

Nuance ha assunto l’impegno di garantire la conformità al GDPR. Il presente documento illustra l’approccio di Nuance ai requisiti chiave del GDPR, sottolineando come l’azienda sostiene i propri clienti nei loro sforzi per conformarvisi.

Titolari e responsabili del trattamento:
per usare la terminologia del GDPR, quando Nuance fornisce prodotti e servizi basati sul cloud che utilizzano dati personali, agisce come responsabile dei dati a nome dei propri partner titolari del trattamento. Il GDPR impone obblighi specifici per entrambe le parti. In qualità di responsabile, Nuance è vincolata per contratto a utilizzare i dati personali UE per le finalità specifiche illustrate agli interessati. Qualora dovessi avere bisogno di ulteriori informazioni sull’uso dei dati personali UE da parte di Nuance in relazione a un determinato prodotto, consulta il contratto da te stipulato e l’Informativa sulla privacy di Nuance. Per ulteriori informazioni, contattaci all’indirizzo (privacy@nuance.com).

Dati personali gestiti da Nuance:
in genere, è Nuance a gestire i dati vocali forniti dai propri partner all’interno di servizi per il riconoscimento vocale. Nuance non archivia elementi identificativi al di là del file vocale: al termine dell’elaborazione dello stesso, tutti i dati di contatto, i nomi degli interessati e i codici identificativi dei partner vengono eliminati.

Le registrazioni vocali vengono raccolte sotto forma di frammenti di pochi secondi e memorizzate in modo non contiguo né consecutivo, per cui non è possibile recuperare o isolare una singola registrazione vocale nella sua interezza. Nella maggior parte dei nostri sistemi, i singoli frammenti sono troppo brevi per identificare la persona alla quale appartiene un determinato file o per recuperare file legati a uno specifico individuo.

Nuance vende un’ampia varietà di prodotti e servizi che memorizzano elementi identificativi, inclusi software per la sanità e servizi di trascrizione. Questi prodotti, come pure l’assistenza clienti fornita per i vari reparti Nuance, spesso comportano l’elaborazione di dati personali. Qualora Nuance si trovi a trattenere dati personali identificabili, si impegna ad aiutare i propri clienti a rispettare i diritti degli interessati previsti dal GDPR. Nuance non utilizza i dati forniti dai suoi clienti per fini diversi da quelli previsti dal contratto e dal miglioramento del prodotto (es. conservare le registrazioni vocali di un medico per migliorare la precisione delle trascrizioni future).

Per maggiori informazioni su come Nuance gestisce i Dati personali, consultare l’Informativa sulla privacy .

Al pari di molte aziende operanti all’interno dell’Unione Europea prima del GDPR, Nuance si era già conformata alla Direttiva sulla protezione dei dati UE e ne aveva incorporato le funzionalità di privacy e anonimizzazione nei propri prodotti da diversi anni. Nel 2017, Nuance ha portato a termine una valutazione complessiva del nuovo regolamento sulla protezione dei dati e delle proprie pratiche di sicurezza e protezione dei dati, per verificare se corrispondessero già a quanto previsto dalla normativa o richiedessero degli adeguamenti. Di seguito sono elencati i provvedimenti presi riguardo ad alcuni requisiti chiave.

I requisiti del GDPR

Controlli sulla privacy
Le organizzazioni che raccolgono dati personali all’interno dell’Unione Europea dovranno aspettarsi una sempre maggiore attività da parte delle autorità di controllo ed essere costantemente in grado di dimostrare la propria conformità al GDPR. Il nuovo regolamento ha notevolmente aumentato le relative sanzioni.

La risposta di Nuance
Nuance dispone di un team di esperti di privacy dedicato a supervisionare e mantenere i suoi programmi in materia e ha elaborato politiche per la salvaguardia dei dati personali UE secondo quanto previsto dal GDPR. Inoltre, ha nominato un responsabile della privacy (Chief Privacy Officer) o responsabile della protezione dei dati (Data Protection Officer) appositamente a questo scopo.

Oltre a ciò, provvederà a condurre verifiche sistematiche in termini di privacy che includeranno la conformità al GDPR. In ultimo, tutto il personale Nuance che si occupa di gestire dati personali UE riceve una formazione specifica riguardante anche il GDPR.

Sicurezza dei dati
I dati vanno protetti tramite i provvedimenti tecnici più appropriati per garantire un livello di sicurezza adeguato al rischio comportato dai dati stessi.

La risposta di Nuance
Nuance ha implementato una valida serie di controlli di sicurezza che rispondono a diversi standard di settore. Applicazioni e server sono soggetti a controlli tecnici, fisici e amministrativi per garantire la sicurezza, riservatezza, disponibilità, integrità di elaborazione e privacy dei dati gestiti. Per esempio, Nuance dispone di controlli di sicurezza tecnica che limitano l’accesso ai dati personali unicamente agli individui che ne hanno bisogno per la propria attività e li conserva solo per periodi di tempo specifici e limitati, anonimizzandoli (nella maggior parte dei casi) una volta completata l’elaborazione.

Violazioni di sicurezza
Il GDPR prevede che eventuali violazioni della sicurezza vengano comunicate alle autorità di controllo entro 72 ore dal momento in cui il titolare del trattamento ne viene a conoscenza, con eventuale notifica agli interessati se giustificata dal rischio.

La risposta di Nuance
Nuance ha stabilito una procedura per la segnalazione di violazioni e incidenti gravi che viene revisionata a cadenza regolare per verificarne la conformità ai requisiti normativi. Sappiamo bene quali siano i requisiti necessari in caso di segnalazione delle violazioni, in quanto ormai da anni assistiamo le organizzazioni operanti in ambito sanitario nell’elaborazione di dati medici, che negli Stati Uniti è soggetta all’HIPAA. Inoltre, disponiamo di procedure per fornire le informazioni necessarie per generare una notifica di violazione e il relativo report per i partner. Tali procedure possono essere combinate a eventuali procedimenti per la gestione di specifiche violazioni esterne e a piani di comunicazione sviluppati in collaborazione con determinati partner.

Responsabile della protezione dei dati
In determinate circostanze, i titolari e i responsabili del trattamento sono tenuti a nominare un Responsabile della protezione dei dati, per esempio in caso di regolare elaborazione di informazioni su larga scala.

La risposta di Nuance
Nuance ha nominato un Responsabile della protezione dati di Nuance Communications, Inc. e delle società affiliate. I dati di contatto del Responsabile della protezione dati sono riportati all’interno della nostra Informativa sulla privacy.

Amministrazione dei dati personali e privacy by design
Per conformarsi a una serie di requisiti del GDPR, come quello della "privacy by design" e le valutazioni dell’impatto dei risultati ottenuti in materia di protezione dati, bisogna disporre di una solida struttura di amministrazione dei dati.

La risposta di Nuance
Nuance ha creato un team dedicato alla privacy, guidato dal Responsabile della privacy, che include un responsabile del programma per la privacy e avvocati esperti in materia, assegnati alle diverse divisioni e funzioni di Nuance, tra cui sanità, imprenditoria e trasporti o marketing e risorse umane.

Nuance dispone di un team per la privacy dedicato, che assiste in ogni fase dello sviluppo del prodotto. Una volta identificati i principali requisiti del GDPR, li abbiamo trasformati in specifiche esigenze di design. I risultati vengono incorporati nel design del prodotto nelle diverse fasi dello sviluppo.

Il team per la privacy ha il compito di effettuare valutazioni d’impatto sulla protezione dei dati, offrire consulenza su questioni contrattuali riguardanti l’utilizzo e la protezione dei dati e assistere nella risoluzione di una vasta gamma di problematiche in materia di privacy.

Minimizzazione dei dati e conservazione limitata
È necessario assicurare che i dati siano minimizzati in ogni fase del trattamento:

Al momento della raccolta: la raccolta di dati personali deve limitarsi al minimo (in natura e volume) di dati necessari per conseguire gli obiettivi concordati.

Durante la generazione dei dati personali:sia che il sistema osservi, derivi o deduca i dati in oggetto, questi dovranno sempre essere limitati al minimo necessario per conseguire gli obiettivi concordati.

Inoltre, i dati personali dovranno essere elaborati e conservati solo per il tempo necessario a conseguire gli obiettivi per i quali sono stati raccolti.

La risposta di Nuance
Sebbene la raccolta dei dati sia fondamentalmente in mano al titolare del trattamento, Nuance ha stabilito una procedura di revisione che tiene in considerazione il modo in cui tali dati vengono raccolti e l’utilizzo che ne viene fatto.

Registri di trattamento
In qualità di responsabile del trattamento a nome dei propri clienti, per rispondere ai requisiti del GDPR Nuance è obbligata a mantenere registri delle attività di trattamento, inclusi la finalità dello stesso, le categorie di interessati ed eventuali trasferimenti transfrontalieri.

La risposta di Nuance
Nuance documenta tutte le principali attività di trattamento dei dati riguardanti i Dati personali UE e dispone quindi di adeguate registrazioni della propria attività in materia.

Qualora uno dei nostri partner dovesse avere bisogno di maggiori informazioni da parte nostra per completare la mappatura dei dati e le librerie per il trattamento faremo quanto in nostro potere per fornire tutti i dati necessari.

Diritti degli interessati
Il GDPR fornisce agli interessati maggiori diritti in merito al controllo sui propri dati, inclusi il diritto di accesso, di correzione dei dati inesatti e, in determinate circostanze, anche della loro cancellazione.

La risposta di Nuance
Nuance si impegna a rispondere tempestivamente a qualunque richiesta ricevuta in materia di esercizio dei diritti degli interessati. I nostri clienti, comunque, dovrebbero sapere che molti dei dati in nostro possesso non sono riconducibili a singoli individui.

Qualora Nuance si trovi a trattenere dati personali identificabili, si impegna ad aiutare i propri clienti a rispettare i diritti degli interessati previsti dal GDPR.

Soggetti terzi
I contratti tra Nuance e i suoi clienti dovranno contenere disposizioni aggiuntive, dal momento che l'articolo 28 del GDPR prevede l'inserimento di specifiche disposizioni sull'elaborazione dei dati nei contratti tra titolari e responsabili del trattamento.

La risposta di Nuance
Nei casi in cui i Dati personali sono gestiti da un fornitore terzo, Nuance ne esamina informative, procedure e controlli per assicurare un livello di sicurezza adeguato.

Nuance ha rivisto i propri contratti standard con clienti europei al fine di includere le nuove disposizioni sul trattamento dei dati previste dall’articolo 28, compresi il controllo dei trattamenti effettuati da terzi, l’assistenza in materia di diritti degli interessati, verifiche e ispezioni.

Liceità del trattamento
Il trattamento dei dati personali è considerato legittimo unicamente con la presenza di uno dei sei fattori elencati nel GDPR (per esempio, qualora vi sia un interesse legittimo, se necessario per l’esecuzione di un contratto o per la validità di un altro requisito normativo o ragione legale). Uno dei sei fattori è il consenso, che sotto il GDPR si basa su requisiti molto più severi. Tra le altre importanti modifiche introdotte dal GDPR, gli interessati hanno maggiori possibilità di revocare il proprio consenso al trattamento dei dati in qualsiasi momento.

La risposta di Nuance
Determinare la liceità del trattamento dei dati è responsabilità dei nostri clienti, in quanto Titolari del trattamento stesso. In qualità di Responsabile, Nuance dovrà attenersi alle decisioni prese dal cliente in materia di liceità ed elaborare i dati secondo quanto previsto dalle disposizioni contrattuali.

Trasferimenti transfrontalieri
I trasferimenti di dati personali in paesi al di fuori del SEE sono generalmente consentiti (a) verso paesi che la Commissione europea ha ritenuto capaci di fornire un livello di protezione dei dati personali “adeguato”, (b) con l'uso di clausole contrattuali standard, (c) tramite norme vincolanti d'impresa, (d) verso gli Stati Uniti, in conformità con il regolamento previsto dallo Scudo per la privacy.

La risposta di Nuance
Nuance ha stipulato accordi per la protezione dei dati standard, con l’inclusione di clausole contrattuali modello, per consentire il trasferimento di dati dall’UE agli Stati Uniti. Inoltre, detiene la certificazione di conformità allo Scudo per la privacy. Infine, nel caso in cui i nostri clienti siano soggetti a norme vincolanti d’impresa, siamo pronti a firmare accordi per l’elaborazione dei dati per vincolarci a tali norme.

Nuance offre numerosi prodotti in grado di archiviare dati nel cloud. In questi casi, Nuance può accedere ai dati in qualità di titolare del trattamento. L’offerta Nuance, però, include anche una serie di prodotti in loco, che archiviano i dati su server di proprietà dei nostri clienti o sotto la loro gestione. In questi altri casi, in genere Nuance non ha accesso ai dati, non può fungere da titolare del trattamento e non ha alcun ruolo nelle attività di conformità al GDPR. Tuttavia, in queste circostanze Nuance fornisce un servizio di assistenza clienti e di tanto in tanto questo comporta l’accesso ai dati personali. Nella misura in cui Nuance viene a contatto con dati personali di membri dell’UE nel corso della fornitura dei propri servizi di assistenza, si impegna a mantenere la propria conformità ai requisiti del GDPR.

Dal momento che i requisiti del GDPR sono destinati a divenire sempre più chiari tramite l’orientamento normativo e la relativa applicazione, Nuance si aspetta di poter ampliare ulteriormente il proprio programma sul GDPR per la clientela. La presente guida verrà aggiornata con maggiori dettagli insieme con il programma.

Qualora avessi domande specifiche su come Nuance può aiutarti ad adempiere agli obblighi imposti dal GDPR scrivi a (privacy@nuance.com).