Il GDPR (General Data Protection Regulation), ossia il regolamento con il quale la Commissione europea rafforza e unifica la protezione dei dati personali entro i confini dell’Unione Europea, sostituirà l’attuale direttiva comunitaria e sarà direttamente applicabile in tutti gli Stati membri dopo il 25 maggio 2018.
La nuova normativa contiene alcuni adempimenti complessi per i quali è necessario prepararsi adeguatamente. Vediamo insieme i passi da compiere per non farci cogliere impreparati dal nuovo regolamento sulla protezione dati:
1. Registro dei trattamenti
?in questo documento dovranno essere indicati, nero su bianco, i dati scaturiti dai processi oggetto di trattamento,
– perché e come trattarli,
– chi sono i soggetti interessati,
– il periodo di conservazione,
– le modalità di custodia.
2. Data breach, che significa violazione della sicurezza aziendale. Anche su questo punto è necessario non farsi trovare impreparati, mettendo in pratica politiche preventive chiare e procedure efficaci per comunicare e reagire in tempo di fronte ad una violazione dei dati.
3. Accountability: ovvero rendicontazione e monitoraggio delle procedure di trattamento dei dati per ridurre al minimo il trattamento e la conservazione dei dati, ed una definizione delle misure di salvaguardia degli stessi.
4. Privacy by design:
Assicurarsi, sin da subito, che il rispetto della privacy sia insito in qualsiasi nuovo processo implementato o prodotto/servizio distribuito sul mercato, trasformando la semplice conformità normativa in vantaggio competitivo per l’azienda.
5. Rispetto dei principi fondamentali:
Non dimenticarsi di studiare le basi giuridiche per cui si utilizzano i dati personali e capire se l’ottenimento del consenso del loro trattamento sia necessario o meno.
6. Comunicazioni formali: comunicare le informazioni e le politiche sulla privacy in modo chiaro, accessibile, semplice.
7. Diritti degli interessati (data subjects):
ricordare quali sono i diritti delle persone interessate, per essere pronti di fronte a specifiche richieste sull’esercizio dei loro diritti (es. diritto alla cancellazione).
8. Ruolo del DPO:
È necessario nominare la figura del Data Protection Officer se si verifica almeno una delle tre situazioni qui elencate:
– il trattamento è effettuato da un ente pubblico;
– le operazioni di trattamento richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
– il core business del Titolare o del Responsabile consiste nel trattamento su larga scala di particolari categorie di dati personali o giudiziari.
9. Responsabili del trattamento:
entità (persona fisica o giuridica, autorità pubblica, servizio o altro organismo che tratta dati personali per conto del titolare del trattamento) che danno garanzie di implementare appropriate misure per assicurare la compliance GDPR.
10. Data transfer:
Per i trasferimenti di dati transfrontalieri, internazionali, infragruppo è importante assicurarsi di avere una base legittima per il trasferimento di dati personali a giurisdizioni che non abbiano un’adeguata regolamentazione sulla protezione dei dati.
Fonte utile: data Protection management – dott. Emanuele Testolin – gennaio 2017 – ©riproduzione riservata
Fonte immagine: <a href=”http://www.freepik.com/free-photos-vectors/tecnologia”>Tecnologia vecttori created by Makyzz – Freepik.com</a>