Caricamento...

Come adeguarsi al GDPR in 5 passi

30
Mag
Come adeguarsi al GDPR in 5 passi

Come adeguarsi al GDPR in 5 passi

Scritto da codeIngenia
Pubblicato in Blog

ECCO LA TUA CHECKLIST PER ESSERE IN REGOLA


Abbiamo individuato i 5 punti chiave per affrontare l’adeguamento al nuovo regolamento del trattamento dei dati.

1. ANALISI E RACCOLTA DEI DATI:


Il primo passo consiste in un’analisi interna di tutte le aree aziendali, quindi dei dati in possesso, compresi quelli dei dipendenti, partner e fornitori, in modo da poter verificare:
- di quali dati si è in possesso (personali, sensibili, anonimi);
- su quali piattaforme (rete aziendale, web, e-commerce, app,…);
- qual è il livello di sicurezza;
- in che modo è stato chiesto il consenso agli utenti iscritti al sito e alla mailing list;

2. REDAZIONE DEL REGISTRO DEL TRATTAMENTO DEI DATI:


Non è obbligatorio per le imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato. Il registro del trattamento dei dati, rappresenta il punto di partenza fondamentale per il processo di adeguamento che sarà di competenza del titolare del trattamento dei dati e dovrà contenere - Nome e dati di contatto del titolare del trattamento e, se presente, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
- Le finalità del trattamento;
- La descrizione delle categorie di interessati e delle categorie di dati personali;
- Le categorie di destinatari a cui i dati personali siano stati o saranno comunicati, compresi i destinatari di paesi terzi;
- Se presenti, i trasferimenti di dati personali verso paesi terzi e la loro identificazione;
- I termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- Una descrizione generale delle misure di sicurezza tecniche e organizzative.

3. ACQUISIRE IL CONSENSO ESPLICITO AL TRATTAMENTO DEI DATI:


Il consenso alla raccolta dei dati deve essere concesso liberamente e deve essere specifico, informato e inequivocabile. Il consenso non può provenire dal silenzio, da caselle preselezionate o dell'inattività. Questo significa anche che sarà il caso di controllare come si sta chiedendo il permesso di raccogliere i dati al fine di essere conforme agli standard del nuovo GDPR, il quale impone l’informativa in forma scritta relativa al diritto di revoca del consenso in qualsiasi momento ed in modo semplice.

4. RISPETTARE IL PRINCIPIO DI ACCOUNTABILITY:


Con il principio di accountability si intende il processo di responsabilizzazione verso la tutela e la protezione dei dati personali. Sulla base di questo principio si distinguono le due figure di responsabilità che insieme garantiscono la regolare applicazione del GDPR.

a) La redazione e gestione del REGISTRO DEL TRATTAMENTO DEI DATI il quale viene affidato al TITOLARE DEL TRATTAMENTO DEI DATI PERSONALI, ovvero il titolare dell’azienda che risulta tale in virtù del potere di poter disporre dei dati sulla privacy. Questo avrà il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati al fine di garantire una adeguata protezione.

b) La nomina del DATA PROTECTION OFFICER (DPO), ovvero quella figura professionale esterna o interna all’azienda, la cui responsabilità principale è quella di osservare, valutare e organizzare la gestione e quindi la protezione del trattamento di dati personali all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy previste. Dovrà inoltre supportare il titolare dei dati sia nella gestione, sia per eventuali violazioni del regolamento.

5. VALUTAZIONE DEI RISCHI :


Ad integrare questo approccio del principio di accountability, basato sulla valutazione del rischio, intervengono i principi di privacy by design e privacy by default. Si tratta di due concetti innovativi che definiscono l’adozione di misure di protezione dalla fase di progettazione del trattamento, imponendo l’utilizzo dei soli dati necessari a rispondere a finalità specifiche relative alla gestione dei dati.

- Il concetto di privacy by default introdotto nel Regolamento evidenzia la necessità della tutela della vita privata dei cittadini “di default”, ossia come impostazione predefinita. Questo in occasione di operazioni che portano l’utente a rendere i propri dati a terzi, come nel caso di registrazione a servizi online;
- Il concetto privacy by design si basa sul principio prevenire e non correggere. Con ciò si intende la necessità di tutelare il dato sin dalla progettazione di sistemi informatici che ne prevedano l’utilizzo.
- Il DATA BREACH: per data breach si intende la violazione della sicurezza dei dati personali a cui, accidentalmente o in modo illecito, ne consegue la distruzione, la perdita, la modifica e la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. In questo caso subentra LA VALUTAZIONE D’IMPATTO (DPIA: Data Protection Impact Assessment), che rappresenta probabilmente l’operazione più importante da effettuare per rispettare l’applicazione del principio di accountability. Il GDPR ha predisposto in questi casi un arco temporale di massimo 72 ore a partire dal momento dell’avvenuta conoscenza della violazione, per notificarla, giustificando un eventuale ritardo.

SANZIONI PREVISTE GDPR :


Le SANZIONI AMMINISTRATIVE sono comprese tra i €10.000.000 e i €20.000.000 o dal 2% al 4% del fatturato annuo nel caso in cui siano violati:
- I principi relativi al trattamento e al consenso;
- Disposizioni relative ai diritti dell’interessato;
- Disposizione in materia di trasferimento dati;
- Ordine di cessazione del trattamento.

Le SANZIONI PENALI previste variano:
- Da 6 a 18 mesi di carcere per trattamento illecito di dati personali;
- Da 1 a 6 anni di carcere per la diffusione di dati relativi a un numero rilevante di persone;
- Da 1 a 4 anni di carcere per acquisizione di dati relativi a un numero rilevante di persone;
- Da 6 mesi a 3 anni di carcere per falsità nelle dichiarazioni al Garante;
- Arresto da 15 giorni a 1 anno e ammenda fino a 7.700€ per le violazioni in materia di controlli a distanza e indagini su opinioni dei lavoratori.
Leggi la nuova informativa per intero cliccando qui e aggiornati come previsto.

Il nostro impegno per garantire la tua Privacy!
Contattaci e insieme pianificheremo le nuove modalità di gestione e controllo dei tuoi dati personali e quelli dei tuoi clienti. Siamo a tua disposizione per una consulenza completa.

Lo staff di Codeingenia