GDPR: la checklist da seguire
Entro il 25 Maggio 2018 tutte le aziende dovranno adeguarsi alla nuova normativa in tema di privacy. Vediamo nel concreto ed in maniera semplice cosa bisognerà fare per mettersi in regola attraverso una checklist sulle principali attività del GDPR:
- La prima cosa importante da fare è informarsi su siti istituzionali
e non informarsi sui tanti articoli diffusi in rete. Ecco una serie di link dove poterlo fare:
Sito Giustizia e Commissione Europea
- La seconda è cercare di capire quali sono i dati che tratta l’azienda
Per dati si intendono tutti i dati di cui è in possesso l’azienda, riferiti a persone fisiche, e che permettono di identificare tale persona. Possono essere dati acquisiti attraverso sito web o altre attività di raccolta anagrafiche. Bisogna capire per che fini vengono utilizzati, con che livello di sicurezza vengono gestiti e a chi sono comunicati.
- La gestione dei trattamenti
Una volta individuati i dati bisogna occuparsi del loro trattamento e metterli in un archivio o registro (online od offline). Il GDPR impone di tenere un registro aggiornato dei trattamenti per tutti i dati raccolti. Tuttavia a volte potrebbe non essere necessario documentare tutto nel registro, il garante della privacy però raccomanda questa procedura non solo per controlli di supervisione da parte delle autorità competenti ma anche per tenere sotto controllo il registro per ogni eventuale valutazione ed analisi del rischio.
Ecco un esempio di dati ed attività la cui gestione rappresenta un’operazione di trattamento dati:
- anagrafiche clienti
- anagrafiche dipendenti
- anagrafiche fornitori
- videosorveglianza
- campagne commerciali e di marketing
- gestione di un sito web
- La gestione dei consensi
Tutti i dati potranno essere trattati solo se c’è stato un esplicito consenso e questo sarà ritenuto valido solo se liberamente fornito. Non sarà valido quindi il consenso fornito assieme ad altre condizioni, come quelle contrattuali. “Sarà necessario fornire il consenso per ogni scopo diverso per cui i dati sono utilizzati e l’azienda dovrà poter dimostrare di averlo ricevuto.”
- La gestione dei rischi e delle misure necessarie di sicurezza
Oltre ad un’analisi e valutazione dei rischi, bisogna mettere in atto misure tali affinché tutti i dati raccolti siano messi in sicurezza. Questo può essere fatto attraverso strumenti o software automatici .
- L’analisi dei rischi con relativa DPIA e pianificazione Audit periodiche obbligatorie
La DPIA è una valutazione d’impatto sulla protezione dei dati, ed anche un procedimento che deve essere messo in atto dal titolare del trattamento dei dati che deve consultare l’autorità di controllo, in caso le misure tecniche e organizzative non siano ritenute sufficienti. L’Audit Privacy invece è una valutazione dei processi aziendali sulla conservazione del trattamento dei dati. Durante l’audit vengono svolte verifiche che evidenziano o meno alcuni processi errati e le verifiche devono essere in capo ad una persona esterna all’azienda.
- La gestione dell’organigramma delle figure preposte al Trattamento dei Dati (Titolari, Responsabili, DPO, Soggetti Autorizzati)
Bisognerà attraverso lettere di incarico specificare le mansioni di tutti i dipendenti, individuare i trattamenti a cui ognuno è autorizzato e delineare le procedure organizzative attraverso cui tutto viene svolto. Inoltre va nominato un DPO o responsabile del trattamento dei dati con il compito di assistere e vigilare internamente sul trattamento dei dati, interfacciandosi all’esterno in via diretta con tutte le autorità di controllo.
Il DPO:
- lavora autonomamente senza ricevere istruzioni (art. 38, par. 3)
- deve poter agire in maniera indipendente
- riferisce sempre al vertice gerarchico (art. 38, par. 3)
- La segnalazione degli eventuali “data breach” al Garante della Privacy.
Tutti i dati raccolti e trattati dalle aziende possono essere a rischio in caso di attacco informatico oppure accessi non in regola ai sistemi aziendali od ancora per distruzione di dati dovuti ad incidenti o altri eventi che ne comportino comunque la perdita o fuga. Tutto ciò può comportare un pericolo per la privacy di tutti gli utenti a cui si riferiscono i dati. “Per questo motivo, anche sulla base della normativa europea, il Garante per la protezione dei dati personali ha adottato una serie di provvedimenti che introducono in determinati settori l’obbligo di comunicare eventuali violazioni di dati personali (data breach) all’Autorità stessa.”
Come poter gestire tutto ciò? Senza incorrere in sanzioni ed adempire correttamente alla norma?
Esistono sul mercato dei software realizzati ad hoc che ti aiutano nella completa gestione delle attività, semplificando il tuo lavoro ed ottimizzando i processi per adempiere alla normativa. Scopri subito Privacy in Cloud , la piattaforma innovativa di TeamSystem che ti guida passo passo nella produzione di documenti per adempiere alla norma.