12 cose da fare per prepararsi al GDPR

12 cose da fare per prepararsi al GDPR

IL GDPR è alle porte e sempre più spesso la domanda che sorge è sempre la stessa:

“cosa devo fare per essere in regola con il nuovo regolamento sulla protezione dei dati personali?”

La prima risposta non è semplice ma può essere così riassunta:

E’ possibile consolidare le misure per la tutela della privacy seguendo i pilastri normativi che compongono il GDPR, rispondendo in modo accurato alle esigenze di protezione e sicurezza.

La consapevolezza e formazione

Le figure chiave in azienda e le persone che hanno ruoli decisionali devono essere informate che la Legge sulla Privacy è cambiata (o meglio, abrogata) a favore del GDPR, il nuovo regolamento europeo per la protezione dei dati personali.

Ogni persona avrà poi il compito di analizzare e identificare le aree di rischio all’interno del loro dipartimento/funzione.

La gestione dell’informazione

Bisogna documentare i dati personali immagazzinati e la loro provenienza, così da pianificare una procedura di controllo dell’informazione più accurata e sensibile alla nuova normativa.

Inoltre è indispensabile aggiornare i dati personali acquisiti e verificare le misure di sicurezza.

Le informazioni e avvisi sulla privacy

E’ indispensabile mettere in atto un piano per revisionare tutte le informazioni e gli avvisi sulla privacy (es. sito web, aree video-sorvegliate, registrazione accessi, ecc) e rendere i processi a norma secondo il GDPR.

Il GDPR richiede che le informazioni siano fornite linguaggio sintetico e facile da capire.

I diritti dell’individuo

Le procedure di data protection adottate nell’organizzazione (anche quelle automatizzate) devono rispettare e garantire tutti i diritti dell’individuo, quali:

  1. il diritto di essere informato;
  2. il diritto di accesso;
  3. il diritto direttifica;
  4. il diritto dicancellazione;
  5. il diritto di limitare l’elaborazione dei dati acquisiti;
  6. il diritto alla portabilità dei dati;
  7. il diritto di opporsi;
  8. il diritto di non essere profilati o subire processi decisionali automatizzati.

Il diritto di accesso ai dati personali

Gli individui hanno il diritto di accedere e gestire i propri dati salvati. L’organizzazione ha quindi il dovere di gestire le pratiche annesse a questo diritto che sono soggette a nuove regole:

  1. il diritto di accesso e gestione dei dati personali deve essere effettuato in modo gratuito
  2. l’accesso ai dati deve avvenire entro 3 giorni dalla richiesta
  3. Se si rifiuta una richiesta di accesso ai dati personali è necessario comunicare l’azione all’individuo, il quale a sua volta ha il diritto di sporgere denuncia all’autorità di controllo o a quella giudiziaria

Le basi legali

Quando si parla di procedure connesse al GDPR è necessario identificare le basi legali per elaborazione dei dati personali.

Ogni funzione procedurale, ogni documento e informativa deve avere solide basi legali per essere gestito nel modo più corretto, giustificando le motivazioni per le quali i dati vengono trattati.

Il consenso

Il consenso deve essere dato liberamente, deve essere informato e non ambiguo, oltre che essere un opt-in positivo: il consenso non può essere fornito in modo “silenzioso” e pre-trattato.

E’ necessario aggiornare, le politiche del consenso, le procedure utilizzate per acquisirlo e i consensi esistenti che non soddisfano il GDPR.

I minori e il consenso al trattamento dei loro dati

Adottare le misure per verificare l’età delle persone e per ottenere il consenso del genitore o del tutore è un buon punto di inizio. Per la prima volta, il GDPR ja introdotto una protezione speciale per i bambini, in particolare nel contesto dei Social Network.

Il consenso deve essere verificabile e l’informativa sulla privacy deve essere scritta in una lingua chiara per qualsiasi bambino.

Il data breach

Ogni organizzazione deve possedere le migliori procedure per rilevare, segnalare e indagare su una violazione dei dati personali.

Cosa fare in caso di Data Breach? Voglio saperne di più! >

Inoltre è necessario sviluppare politiche per la gestione violazioni dei dati, la cui mancata segnalazione comporta una multa e una violazione stessa.

Il DPIA

Il DPIA è richiesto in situazioni in cui è probabile che l’elaborazione dei dati si traduca in alto rischio per le persone, ad esempio:

  1. dove viene impiegata una nuova tecnologia;
  2. dove è probabile che un’operazione di profilazione possa influire in modo significativo sugli individui;
  3. dove c’è elaborazione su larga scala delle categorie speciali di dati.

DPO

Il Data Protection Officer è un soggetto individuato dal titolare o dal responsabile del trattamento per funzioni di supporto e controllo, consultive, formative e informative circa l’applicazione del Regolamento.

E’ necessario avere un DPO solo in alcuni casi, quali istituti di credito, le imprese assicurative, le società che si occupano di sistemi di informazione creditizia, le società finanziarie, le società di informazioni commerciali, le società di revisione contabile e poi ancora le società di recupero crediti, gli istituti di vigilanza, i partiti e movimenti politici, i sindacati, i laboratori di analisi mediche, i centri di riabilitazione, i call center, le società che erogano servizi televisivi a pagamento.

DPO: le Faq sul Data Protection Officer in ambito privato

Internazionalizzazione

Se l’organizzazione opera in più stati membri UE è necessario nominare un’autorità di vigilanza. Tale Autorità di Vigilanza deve essere presente nello stato europeo definito come principale dall’organizzazione.

SUITE GDPR SENTINEL

  • ✓ Inventario e discovery della rete aziendale
  • ✓ Analisi delle vulnerabilità e delle anomalie
  • ✓ Registrazione dei log di sistema
  • ✓ Monitoraggio intelligente degli accessi
Questo articolo parla di:
12 cose da fare per prepararsi al GDPR
Titolo
12 cose da fare per prepararsi al GDPR
Descrizione
E' possibile consolidare le misure per la tutela della privacy seguendo i pilastri normativi che compongono il GDPR, rispondendo in modo accurato alle esigenze di protezione e sicurezza.
Autore
Publisher
InfoGDPR
Logo Publisher

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *