FORMart
TUTTE LE SEDI
  • News
  • Checklist GDPR: come orientarsi alla nuova normativa privacy

Checklist GDPR: come orientarsi alla nuova normativa privacy

 
 

Il 25 maggio, il fatidico giorno in cui entrerà in vigore la nuova normativa europea sulla protezione dei dati personali e sulla privacy, è sempre più vicino. Sarà un cambiamento epocale: gli specialisti distinguono già il pre-GDPR dal post-GDPR per evidenziare il netto cambio di paradigma del modo in cui le aziende dovranno tutelare la privacy e il trattamento dei dati personali. Tra il dire e il fare, il mare di adempimenti da assolvere per essere compliant alla normativa appare sempre più lungo e complesso da attraversare.
Per orientare le aziende di qualsiasi dimensione al processo di adeguamento GDPR, forniamo una rapida checklist di aspetti e azioni da tenere in considerazione.

 

1. ANALISI DEI DATI IN POSSESSO

Il primo passo consigliato per mettersi al pari con il GDPR consiste in un’analisi della situazione attuale. 
Di quali dati si è in possesso? Su quali piattaforme? Qual è il livello di sicurezza? In che modo è stato richiesto il consenso a partner, clienti e iscritti alla vostra mailing list? 

Un’analisi approfondita dello scenario attuale potrà fornirvi un ordine di priorità delle prossime azioni da compiere.

 

2. ANALISI DEI PARTNER E DEI FORNITORI

I vostri fornitori sono compliant al GDPR e possono garantirvi la sicurezza dei dati? L’articolo 28 della normativa pone le regole sulla fornitura di servizi riguardanti i dati personali in vostro possesso. I fornitori dovranno garantire la riservatezza e la corretta elaborazione dei dati mediante un atto giuridico. Il contratto tra le due parti dovrà riportare inoltre finalità, durata e tipologia dei dati del trattamento in questione.

 

3. VALUTAZIONE DEI SISTEMI PER LA PRIVACY

L’analisi dei dati non è di per sé sufficiente: il passo successivo consiste nella valutazione dei sistemi di privacy e delle piattaforme informatiche utilizzate. Intorno a questo aspetto ruotano i concetti innovativi di privacy by design e privacy by default. 

Con privacy by design si intende che i sistemi interessati dal trattamento dei dati personali siano stati progettati per l’effettiva tutela della riservatezza delle persone interessate. 
Con privacy by default, invece, si intende la predisposizione dei sistemi alla conservazione dei dati per la durata e le uniche finalità indicate dalle persone interessate. Non più sistemi che considerino il rispetto della privacy come corollario, ma sistemi che prevedano il rispetto della privacy come obiettivo finale.

 

4. VALUTAZIONE DEI RISCHI E PROCEDURE DI EMERGENZA

Il Data Breach è una delle novità principali del GDPR.  

Dal momento che le eventuali violazioni dovranno essere segnalate entro 72 ore, unitamente alla documentazione delle misure di sicurezza adottate, per le imprese è consigliabile predisporre un piano ben dettagliato che comprenda tutte le azioni da compiere nel caso in cui venga violato il sistema di protezione dei dati.

 

5. NOMINA DI UN DPO

L’articolo 37 della nuova normativa decreta l’obbligatorietà della nomina di un DPO se:

- il trattamento è svolto da una pubblica amministrazione;
- le attività dell’azienda richiedono un monitoraggio costante e sistematico degli interessati;
- vengono trattati dati sensibili, come l’origine etnica, opinioni politiche, orientamenti religiosi, orientamenti sessuali, dati biometrici, informazioni relative a condanne penali o reati.

Tuttavia, il Garante della Privacy nelle sue linee guida consiglia per tutte le imprese la nomina di un DPO, debitamente in possesso di una formazione adeguata al proprio ruolo.

Quello del Data Protection Officer, più che una vera e propria figura, deve comunque essere intesa come una funzione aziendale: esiste la possibilità di nominare un dipendente come tale o, in alcuni casi, anche una persona esterna all’azienda. Il suo nominativo va sempre comunicato al Garante sulla Privacy.

 

6. FORMAZIONE: UN ASPETTO IMPORTANTE DELL’ACCOUNTABILITY

I punti finora affrontati sono strettamente collegati tra loro dal principio comune dell’accountabity, ovvero il processo di responsabilizzazione verso la tutela e la protezione dei dati personali. La consapevolezza deve essere diffusa all’interno della cultura aziendale, dal momento che tra responsabili e incaricati, esiste un numero consistente di figure che utilizzerà quotidianamente i dati in possesso: commerciali, legali, tecnici informatici, responsabili e addetti alle risorse umane e al marketing, addetti al front office.

Per i titolari del trattamento dei dati personali, una strada agevole per dimostrare di avere adottato le misure organizzative necessarie per la protezione e il corretto trattamento consiste nella formazione.FORMart, in collaborazione con Confartigianato, ha attivato in tutto il territorio dell’Emilia-Romagna i corsi di formazione sul GDPR per permettere alle aziende di responsabilizzare i propri dipendenti.  

 

7. ANALISI DELL’INFORMATIVA SULLA PRIVACY

Passando alle azioni finalizzate alla trasparenza per i vostri utenti, una revisione della vostra informativa sulla privacy potrebbe meritare una certa attenzione. I contenuti indispensabili dell’informativa sono citati all’interno degli articoli 13 e 14 della normativa europea.

Tra i numerosi punti obbligatori, segnaliamo:

- i dati di contatto del titolare del trattamento e del DPO;
- i destinatari dei dati personali;
- la durata del trattamento e della conservazione dei dati personali;
- le finalità del trattamento, inclusi i processi di profilazione;
- i diritti degli interessati e le modalità di accesso ai dati: ne parliamo al punto 9.

 

8. VERIFICA DEL CONSENSO ESPLICITO AL TRATTAMENTO

Addio ai moduli pre-compilati e alle note sommarie. Ogni form creata per far registrare gli utenti tramite l’inserimento dei dati personali dovrà prevedere una funzione di “opt-in”, ovvero un modulo per indicare il consenso esplicito al trattamento secondo le finalità previste. Non basterà richiedere genericamente, ad esempio, l’iscrizione alla mailing-list del vostro sito: occorrerà specificare se l’utente desidera ricevere le newsletter informative o le DEM contenenti offerte e sconti.

 

9. VERIFICA DEI DIRITTI PER GLI INTERESSATI

Uno degli effetti principali del cambio di paradigma rispetto al concetto di tutela della privacy riguarda il rapporto tra il titolare dei dati personali e le persone interessate dal trattamento. In parole più semplici, le aziende e i propri clienti. Le aziende dovranno predisporre misure per far valere i seguenti diritti:

- Diritto di accesso: il diritto all’informazione sui dati personali interessati dal trattamento (quali dati), le finalità del trattamento (perché) e la durata (per quanto tempo).
- Diritto alla rettifica dei dati, anche attraverso auto-compilazione telematica;
- Diritto all’oblio, ovvero la cancellazione dei dati personali;
- Diritto alla portabilità: il diritto di ottenere i dati personali in un formato informatico verificabile dall’utente e utilizzabile meccanicamente da una diversa organizzazione (ad esempio, un diverso gestore di servizi).
- Diritto alla limitazione, per limitarne il trattamento futuro o restringerlo alla semplice conservazione dei dati.

 

10. REGISTRO DEL TRATTAMENTO

Se la vostra azienda impiega un numero inferiore di 250 dipendenti, potrebbe non essere necessario elaborare un registro dei trattamenti, in forma scritta o elettronica. La nuova normativa esenta le aziende di medie e piccole dimensioni da questo aspetto formale, a meno che:

- l’elaborazione del registro comporti un aggiornamento continuo;
- l’elaborazione riguarda dati sensibili
- sia presente un rischio elevato per i diritti e le libertà degli individui.

 

Questa checklist, realizzata per mettere in luce alcuni aspetti significativi dell’introduzione del GDPR, non ha carattere di esaustività: consigliamo a privati e aziende di leggere attentamente il regolamento UE 2016/679.