GDPR e compliance: le basi

Il regolamento generale sulla protezione dei dati dell’Unione Europea (GDPR, General Data Protection Regulation), ovvero il più importante cambiamento nel regolamento della privacy dei dati negli ultimi 20 anni, entrerà in vigore il 25 maggio 2018.
Si applica a tutte le organizzazioni dentro e fuori l’UE che trattano e conservano i dati dei suoi cittadini. Poiché la non-conformità comporta sanzioni pesanti (il 4% del fatturato totale annuo!) e potrebbe danneggiare l’immagine del brand, è arrivato il momento di assicurarsi che politiche e procedure aziendali soddisfino i nuovi requisiti. Questa checklist ti aiuterà a capire se sei pronto e, se necessario, a correre ai ripari.

Checklist di conformità al GDPR.

1

Hai stabilito che le tue attività di trattamento dei dati sono assolutamente necessarie e hai scelto la base giuridica idonea per ogni trattamento. Hai documentato le finalità e la base giuridica per il trattamento e hai incluso le informazioni rilevanti nella nota sulla privacy.

2

Nel caso in cui il consenso sia la base giuridica del trattamento, hai verificato che il modo in cui ricevi, registri e gestisci i dati sia conforme al GDPR. In particolare,

  • non utilizzi nessun metodo di consenso tacito, ma chiedi alle persone di accettare con un’azione positiva inequivocabile,
  • fornisci il nome della tua organizzazione e del titolare del trattamento che si occuperà dei dati,
  • spieghi perché ti servono i dati e come li utilizzerai in un linguaggio semplice e comprensibile,
  • non rendi il consenso un presupposto per il servizio,
  • se ti rivolgi a bambini, utilizzi strumenti idonei per verificare l’età e chiedi il consenso dei genitori o di chi ne fa le veci per tutti i bambini al di sotto dei 16 anni,
  • informi le persone circa la possibilità di revocare il consenso in qualsiasi momento,
  • tieni un registro di come è stato ricevuto il consenso, inclusi tutti i dettagli su come le persone sono state invitate a darlo,
  • hai una procedura per rivedere regolarmente i consensi controllando che attività e finalità non siano cambiate,
  • non penalizzi le persone che revocano il consenso e rispondi a tali richieste appena possibile.

3

Ti sei assicurato di rispettare e agevolare il modo il cui le persone esercitano i propri diritti in materia di privacy dei dati personali, come il diritto all’informazione, il diritto di accesso, il diritto di cancellazione, il diritto di rettifica, il diritto di limitazione del trattamento, il diritto alla portabilità dei dati, il diritto di opposizione e i diritti in relazione alla profilazione e ai processi decisionali automatizzati.

4

Hai revisionato le tue politiche di sicurezza, assicurandoti che siano conformi al GDPR. In particolare:

  • se lavori con responsabili del trattamento, hai scritto dei contratti definendo responsabilità e obblighi delle parti,
  • mantieni una documentazione aggiornata di tutte le attività di trattamento in forma scritta o digitale per poterla consegnare agli enti normativi,
  • hai messo in atto misure tecniche e organizzative adeguate per garantire la protezione dei dati fin dalla progettazione e per impostazione predefinita – by design e default (es. cifratura e pseudonimizzazione),
  • hai sviluppato procedure per valutare l’impatto della protezione dei dati (DPIA), identificare e investigare le violazioni dei dati, e segnalare le violazioni dei dati all’Ufficio del commissario per l’informazione e gli interessati come definito nel GDPR,
  • ti sei assicurato che le tue politiche e garanzie riguardanti il trasferimento dei dati oltremare abbiano un livello di protezione adeguato e siano conformi al GDPR.

5

Hai designato un responsabile della protezione dei dati – o DPO, Data Protection Officer – (obbligatorio per tutte le autorità pubbliche e organizzazioni che eseguono un monitoraggio sistematico su larga scala delle persone o un trattamento su larga scala di categorie speciali di dati) o un’altra persona responsabile della protezione dei dati.

6

Ti sei assicurato che i tuoi vecchi dati siano conformi al GDPR. Nello specifico, ti sei accertato che il modo in cui hai raccolto i dati personali sia completamente documentato e soddisfi tutti i requisiti correnti. In caso contrario, hai contattato le persone nel tuo database informandole delle categorie di dati personali di cui sei in possesso, le finalità del trattamento e altre informazioni rilevanti, chiedendo loro di rinnovare il consenso e offrendo la possibilità di opporsi al trattamento dei dati.

7

Ti sei accertato di aver adeguatamente dimostrato la conformità al GDPR tramite politiche e procedure scritte, formazione del personale, tenuta del registro, ecc.

8

Cerchi una comunicazione appropriata con il tuo personale e con gli utenti del servizio: tu, in quanto proprietario, devi ovviamente conoscere i diritti sui dati, ma anche le altre persone dell’organizzazione non sono esonerate dal farlo. Raccogli i dati personali dello staff, dei clienti o degli utenti del servizio e assicurati che siano informati sui propri diritti.

9

Il personale IT e marketing non è adatto a ricoprire il ruolo di responsabile della protezione dei dati.
Il GDPR afferma che il DPO non può avere conflitti di interesse svolgendo due lavori: gestire i dati e, in più, disciplinarli.
Questo significa che manager IT, direttore IT, CTO o responsabile della sicurezza non sono idonei come DPO.
Anche un marketing manager non sarebbe indicato; meglio optare per il direttore del dipartimento finanze, rischi o legale.
Non è necessario che il DPO faccia parte dell’organizzazione: può essere designato anche al di fuori di essa.

Riassumendo.

Speriamo che tu abbia risposto positivamente a tutti i punti della checklist. Se ce n’è qualcuno su cui non sei sicuro di essere conforme, consulta ancora una volta i requisiti dettagliati del GDPR e agisci di conseguenza. Dopotutto, il GDPR è un passo importante verso il rispetto dei diritti sulla privacy e della sicurezza dei dati, il che è decisamente una buona mossa!

Mon-K Team
info@mon-k.com

Mon-K Data Protection EU is a private British and Italian technological Scaleup company based in London and Milan. It is based on an idea of Gianfranco Ilacqua and Paolo Ferrari – two entrepreneurs who were born in Italy but gained experience and studied at an international level – with the aim of creating technological solutions capable of protecting and encrypting data and information.

No Comments

Post A Comment

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.