Con il presente articolo sono a presentarvi alcuni passi per garantire la conformità al GDPR.
PRIMO PASSO È SCOPRIRE I CONCETTI DEL GDPR
Il Regolamento Europeo 2016/679 sulla protezione dei dati personali è un regolamento valido direttamente ed in modo uguale in tutti i paesi membri.
Il Regolamento Europeo 2016/679 si applica a tutte le aziende, istituzioni nazionali e istituti che gestiscono, custodiscono, trattano, trasmettono o operano con i dati personali di persone fisiche, che sono cittadini dei paesi dell’Unione europea.
Si applica anche a tutti i propri esecutori contrattuali (responsabili del trattamento), indipendentemente da dove si trovino. Ma attenzione! Non è possibile trasferire le responsabilità sui partner contrattuali, ma la responsabilità che siano conformi al GDPR è propria.
Il GDPR si applica a tutti i dati personali trattati.
È fondamentale però distinguere tra i dati personali ed i dati di carattere pubblico.
Attenzione che nome.cognome@nome-azienda.it è ritenuto come dato personale e senza permesso non si ha il diritto di trattare tale dato.
Solo gli indirizzi generici, esempio info@nome-azienda.it sono dati di carattere pubblico e quindi non rientrano sotto la giurisdizione del GDPR, quindi il loro trattamento non ha bisogno di alcun consenso esplicito.
Il GDPR richiede al titolare di garantire ai destinatari in maniera semplice, trasparente e sicura i seguenti diritti:
- Il titolare deve definire la base giuridica sulla quale gli è consentito il trattamento dei dati personali.
- Il titolare deve garantire un consenso volontario e trasparente del destinatario sul trattamento dei dati.
- Il titolare deve garantire al destinatario il diritto di informazione.
- Il titolare deve garantire al destinatario il diritto di accesso ai propri dati personali.
- Il titolare deve garantire al destinatario il diritto di rettifica dei propri dati personali.
- Il titolare deve garantire al destinatario il diritto di cancellare i propri dati personali.
- Il titolare deve garantire al destinatario il diritto di trasferire i propri dati personali.
- Il titolare deve garantire al destinatario il diritto di obiezione.
- Il titolare deve garantire una traccia di audit delle operazioni con i dati personali.
Altra novità sono le violazioni, quindi in caso di abuso è necessario informare in meno di 72 ore gli organi competenti.
In caso di violazione la responsabilità è del titolare e quindi non potrà pronunciarsi sui contratti che ha stipulato con i suoi partner o responsabili del trattamento.
SECONDO PASSO È DOCUMENTARE I PROPRI PROCESSI DI TRATTAMENTO DEI DATI
Ciò lo si può fare:
- Definendo lo scopo della raccolta dei dati personali, definendo poi quali sono i dati che si sono raccolti e quindi si passa a categorizzarli.
- Documentando chi tratta i dati personali all’interno dell’azienda.
- Documentando con chi si ha stipulato i contratti sul trattamento dei dati e con quali partner.
- Creando un elenco dei dipendenti che hanno accesso ai dati personali, a quali dati hanno accesso e perché.
- Creando un elenco dei responsabili del trattamento dei dati;
- Creando un elenco dei riceventi dei dati personali, specificando quali dati personali sono stati forniti loro e a quale scopo.
- Specificando se si tratta di dati personali non sensibili o dati personali sensibili.
- Specificando dove i dati personali vengono custoditi.
- Specificando dove i dati vengono processati ed in che modo.
- Specificando chi ha accesso ai dati.
- Definendo le misure minime di sicurezza.
TERZO PASSO È CREARE LA VALUTAZIONE D’IMPATTO
Tale documento è un processo che aiuta a identificare e diminuire i rischi che si manifestano nel trattamento dei dati.
Si deve tenere presente sia della probabilità che della gravità d’impatto sulle persone fisiche.
QUARTO PASSO È VALUTARE LA NECESSITÀ DI AVERE UN RESPONSABILE DELLA PROTEZIONE DEI DATI PERSONALI – DPO
Il DPO è un esperto della sicurezza aziendale e ha il compito di supervisionare la strategia del trattamento dei dati personali in un’azienda, ente, istituto o istituzione. Introduce inoltre dei provvedimento che garantiscano la conformità al GDPR.
QUINTO PASSO È STIPULARE DEI CONTRATTI CON I PROPRI RESPONSABILI DEL TRATTAMENTO DATI
Solo quando si ha stipulato un contratto con il proprio responsabile del trattamento dati, gli si può cedere i dati personali che si gestiscono come titolare del trattamento.
SESTO PASSO È GARANTIRE LA TRACCIA DI AUDIT
Questo permette di stabilire una panoramica cronologica degli avvenimenti che si sono verificatisi su un dato personale.
La traccia di audit è indispensabile quando nel proprio database si ha un destinatario che ha fornito il consenso per il trattamento dei suoi dati personali ed in base a questo consenso gli si invia una newsletter.
Se tale destinatario richiede la cancellazione di tutti i dati e la si compie, il destinatario non può poi denunciarti all’Information Commisioner di non aver avuto il suo consenso per il trattamento dei dati.
Grazie alla traccia audit sarà possibile dimostrare tutto l’accaduto con i suoi dati in possesso.
