Entro il 25 Maggio 2018 tutte le aziende dovranno adeguarsi al GDPR, la nuova normativa in tema di privacy.
Una marea di informazioni parziali e poco chiare circolano in rete, ma nel concreto cosa bisogna fare per mettersi in regola?
Ecco una checklist per orientarsi in questa giungla:
1. Informati su siti istituzionali
Gli articoli possono dare una mano a orientarsi, ma non possono sostituire le fonti ufficiali. Ecco alcuni link a cui fare riferimento:
Sito Giustizia e Commissione Europea
2. Individua i dati che la tua azienda tratta
Per dati si intendono tutte le informazioni, di cui è in possesso l’azienda, riferite a persone fisiche, e che permettono di identificare tali persone. Possono essere dati acquisiti attraverso sito web o altre attività di raccolta anagrafiche. Bisogna capire per quali fini vengono utilizzati, con che livello di sicurezza sono gestiti e a chi sono comunicati.
3. Gestisci adeguatamente i dati
Una volta individuati i dati, bisogna occuparsi del loro trattamento e metterli in un archivio o registro (online o offline). Il GDPR impone di tenere un registro aggiornato dei trattamenti per tutti i dati raccolti. Talvolta può non essere necessario documentare tutto nel registro, ma il garante della privacy raccomanda questa procedura non solo per controlli di supervisione da parte delle autorità competenti, ma anche per tenere sotto controllo il registro per eventuali valutazioni e analisi del rischio.
Ecco un esempio di dati ed attività la cui gestione rappresenta un’operazione di trattamento dati:
anagrafiche clienti
anagrafiche dipendenti
anagrafiche fornitori
videosorveglianza
campagne commerciali e di marketing
gestione di un sito web
4. Gestisci i consensi
Tutti i dati potranno essere trattati solo se c’è stato un esplicito consenso e questo può essere ritenuto valido solo se liberamente fornito.
Non è valido quindi un consenso fornito insieme ad altre condizioni, come quelle contrattuali. “Sarà necessario fornire il consenso per ogni scopo diverso per cui i dati sono utilizzati e l’azienda dovrà poter dimostrare di averlo ricevuto.”
5. Gestisci i rischi e le misure di sicurezza necessarie
Oltre ad un’analisi e valutazione dei rischi, bisogna mettere in atto misure tali affinché tutti i dati raccolti siano messi in sicurezza. Questo può essere fatto attraverso strumenti o software automatici
6. Analizza i rischi con relativa DPIA e pianifica Audit periodiche obbligatorie
La DPIA è una valutazione d’impatto sulla protezione dei dati, ed anche un procedimento che deve essere messo in atto dal titolare del trattamento dei dati che deve consultare l’autorità di controllo, in caso le misure tecniche e organizzative non siano ritenute sufficienti. L’Audit Privacy invece è una valutazione dei processi aziendali sulla conservazione del trattamento dei dati. Durante l’audit vengono svolte verifiche che evidenziano eventuali processi errati e le verifiche devono essere in capo ad una persona esterna all’azienda.
7. Gestisci l’organigramma e le figure preposte al Trattamento dei Dati (Titolari, Responsabili, DPO, Soggetti Autorizzati)
Attraverso lettere di incarico, bisogna specificare le mansioni di tutti i dipendenti, individuare i trattamenti a cui ognuno è autorizzato e delineare le procedure organizzative attraverso cui tutto viene svolto. Inoltre va nominato un DPO o responsabile del trattamento dei dati con il compito di assistere e vigilare internamente sul trattamento dei dati, interfacciandosi all’esterno in via diretta con tutte le autorità di controllo.
Il DPO:
lavora autonomamente senza ricevere istruzioni (art. 38, par. 3)
deve poter agire in maniera indipendente
riferisce sempre al vertice gerarchico (art. 38, par. 3)
8. Segnala eventuali “data breach” al Garante della Privacy
Tutti i dati raccolti e trattati dalle aziende possono essere a rischio in caso di attacco informatico oppure accessi non in regola con i sistemi aziendali o,ancora per distruzione di dati dovuti ad incidenti o altri eventi che ne comportino la perdita o fuga. Tutto ciò può comportare un pericolo per la privacy di tutti gli utenti a cui si riferiscono i dati. “Per questo motivo, anche sulla base della normativa europea, il Garante per la protezione dei dati personali ha adottato una serie di provvedimenti che introducono, in determinati settori, l’obbligo di comunicare eventuali violazioni di dati personali (data breach) all’Autorità stessa.”
Come poter gestire tutto ciò?
Per adempiere correttamente alla norma ed evitare di incorrere in sanzioni, esistono dei software realizzati ad hoc che ti aiutano nella completa gestione delle attività, semplificando il tuo lavoro ed ottimizzando i processi per adempiere alla normativa.
Scopri Agyo Privacy , la piattaforma innovativa di TeamSystem che ti guida passo passo nella produzione di documenti per adempiere alla norma.
Tutte le news