GDPR
Il GDPR si applica anche a società, aziende, imprese ed enti con sede legale fuori dall'UE, che trattano però dati personali di residenti nell'Unione Europea. La nostra azienda si è organizzata per supportare i clienti in tutte le situazioni che richiedono un approccio professionale alle questioni inerenti la privacy.
Quali azioni intraprendere?
È fondamentale effettuare una ricognizione all'interno della propria organizzazione per valutare lo stato dell'arte e valutare le azioni da porre in essere per adeguarsi al nuovo GDPR.
Concretamente, cosa fare?
È necessario verificare chi e come effettua la raccolta dei dati, chi può consultarli e/ o modificarli, come sono conservati, con quali strumenti e con quale diffusione è stata fornita l'informativa ed eventualmente acquisito il consenso al trattamento.
Importante anche analizzare l'organigramma funzionale dei ruoli e degli incarichi.
La mappatura va quindi analizzata alla luce del GDPR e si deve procedere alla redazione di una procedura gestionale che rispetti i nuovi limiti e i nuovi doveri introdotti dal Regolamento.
Questa operazione costituisce la novità essenziale. Solo attraverso l'attività descritta e la successiva progettazione del trattamento sarà possibile dimostrare di aver attuato la sicurezza del trattamento al meglio delle proprie possibilità.
La nuova normativa richiede una serie di attività che, in estrema sintesi, possono essere così riassunte:
- Formazione iniziale: organizzare delle brevi sessioni formative per i ruoli apicali della azienda. E' necessario che le persone chiave delle struttura organizzativa del titolare siano consapevoli dell'impatto che avrà il Regolamento e delle attività da svolgere.
- Valutare se l'azienda deve nominare, o ritiene opportuno nominare, il Responsabile della protezione dati. In caso affermativo è necessario Individuare la persona (interna o esterna) che dovrà svolgere tali funzioni (c.d. DPO)
- Fare un nuovo censimento di tutti i trattamenti: documentare i dati personali trattati, individuare la base giuridica, verificare la durata della conservazione dei dati e a chi vengo comunicati
- Analizzare i rischi che gravano sui trattamenti e predisporre le misure di sicurezza «adeguate»
- Per i trattamenti che presentano un rischio elevato per i diritti e libertà delle persone fisiche effettuare la valutazione di impatto (PIA)
- Redigere il registro delle attività di trattamento
- Aggiornare tutte le informative
- Implementare il processo per l'esercizio dei diritti dell'interessato e per la gestione del data breach
- Aggiornare le designazioni dei responsabili esterni del trattamento
- Formazione finale di tutto il personale
Principi cardine del regolamento
La nuova norma non parla più di misure minime di sicurezza. Sopprime infatti l'obbligo di adozione di misure minime di sicurezza (firewall, backup, ecc.) ma impone la valutazione del rischio rispetto al quale il titolare deve attuare dei comportamenti tutelanti per il trattamento dei dati.
Principio di accountability – art. 24: responsabilizzazione del titolare del trattamento
Principio di privacy by design – art. 25: responsabilità progettuale
Quindi dovrà essere comprovata l'organizzazione per garantire la tutela del dato trattato
Principio del diritto all'oblio: possibilità di vedere cancellati i propri dati dal titolare del trattamento compresi i rimandi sui motori di ricerca.
Secondo principio (default) – art. 25: obbligo di limitare, in modo predefinito, il trattamento dei soli dati necessari per eseguire il singolo lavoro
Informativa e consenso
L'informativa deve essere trasparente, comprensibile e completa. Sarà quindi necessario riscrivere le “vecchie” informative alla luce della nuova normativa.
Nonostante il fatto che l’adeguamento alla normativa
GDPR ponga delle sfide, dall'altra rappresenta per voi e la vostra azienda nuove opportunità per adottare un approccio automatizzato, intelligente e globale alla gestione della vs attività.
Dall’entrata in vigore nel 2003 della legge 196, Center 2000 ha erogato servizi di assistenza all’espletamento degli obblighi inerenti alla tutela dei dati personali e, con l’avvento della normativa Europea GDPR ha implementato e adeguato tali servizi nel nuovo “PRIVACY ASSISTANT”.
Il consenso deve essere richiesto per specifiche finalità e non in modo generico. PRIVACY ASSISTANT è disponibile nelle versioni:
- SELF: piattaforma in Cloud dove il Responsabile del Trattamento dei Dati dell’azienda potrà compilare e produrre autonomamente tutta la documentazione necessaria all’adempimento del GDPR
- EASY: comprende la versione SELF e comprende l’aiuto alla produzione dei moduli da parte di un ns addetto specializzato
- EXCELLENT: comprende la versione EASY ed aggiunge il servizio di Supervisione della documentazione prodotta da parte di un professionista accreditato