venerdì 22 giugno 2018

UN MINUTO DI PRIVACY - 10 STEPS PER ESSERE REALMENTE COMPLIANT

A quasi un mese dal 25 maggio 2018 e dalla piena applicabilità in tutti gli stati membri del Regolamento Europeo n. 679/2016, facciamo insieme un riepilogo dei 10 adempimenti fondamentali per essere realmente compliant.

1) Mappare i dati trattati attraverso il Registro dei trattamenti

Il Garante ne suggerisce la redazione anche alle società che non sarebbero obbligate secondo la normativa europea: il processo ricognitivo legato alla sua compilazione, infatti, costituisce un importante momento di confronto per verificare la liceità dei trattamenti già in essere ed un buon punto di partenza per procedere con l’adeguamento privacy richiesto dal GDPR.

2) Valutare i rischi ed adottare misure tecniche e organizzative idonee a gestirli

Anche per i soggetti che non sono obbligati ad effettuare una P.I.A. (vedi punto 4), è fondamentale per un’adeguata protezione dei dati degli interessati procedere con l’identificazione dei rischi e attivarsi per minimizzarli, adottando delle idonee misure di sicurezza.

3) Organigramma privacy

Individuare i responsabili esterni e gli incaricati del trattamento dei dati e predisporre contratti e lettere d’incarico.

4) Verificare l’obbligo/l’opportunità di eseguire una D.P.I.A.

Il documento è obbligatorio solo per le società che effettuano trattamenti aventi determinate caratteristiche. Si tratta di una valutazione circa l’impatto che il trattamento può avere sulla privacy dei soggetti interessati.

5) Adeguare le informative e la raccolta del consenso

Essenziale per tutti è l’aggiornamento delle informative, i cui contenuti sono stati arricchiti dal GDPR e la verifica della conformità dei consensi precedentemente raccolti.

6) Disciplinare l’utilizzo degli strumenti informatici aziendali

Onde arginare il più possibile il rischio di data breach (vedi punto 8), è opportuno creare delle policy interne.

7) Adottare una procedura per gestire i diritti degli interessati

Il GDPR prevede un obbligo in capo al Titolare del trattamento di gestione nel minor tempo possibile delle richieste provenienti dagli interessati, nell’esercizio dei loro diritti.

8) Adottare una procedura di data breach

E’ opportuno per tutti, adottare una procedura che permetta velocemente di individuare e di notificare una violazione dei dati.

9) Valutare l’obbligo / l’opportunità di nominare un DPO

Valutare se l’azienda, in ragione della tipologia di dati trattati, abbia o meno l’obbligo di nominare il DPO.

10) Formare gli incaricati

La formazione è un momento fondamentale per l’adeguamento privacy. Un incaricato inconsapevole può costituire un “pericolo privacy”. per l’azienda.