Come preparare la propria attività all’entrata in vigore del nuovo regolamento europeo
Il 25 maggio del 2018 entrerà in vigore il nuovo Regolamento generale sulla protezione dei dati (Regolamento (UE) 2016/679), maggiormente conosciuto con la sigla RGDP (in inglese GDPR). È un regolamento europeo che dispiegherà i suoi effetti in tutto il mondo, poiché le sue disposizioni si applicheranno a qualsiasi azienda raccolga o processi dati relativi a persone fisiche nel territorio dell’Unione.
I cittadini europei dei quali l’azienda raccoglie e processa i dati non sono però solamente i clienti. Infatti, occorre considerare attentamente anche i dati trattati relativi ai dipendenti, ai fornitori o anche solo alle persone che comunicano i loro dati sul sito web per iscriversi alla newsletter.
Le sanzioni per chi non si allineerà alle disposizioni previste dalla legge sono molto elevate (4% del fatturato annuo per le PMI e fino a 20 milioni di euro per le grandi aziende).
Tuttavia, il “GDPR italiano”(questo nuovo regolamento europeo) può rappresentare per le aziende una grande occasione di rinnovamento, che dà l’opportunità di ammodernare, ripensare e rendere più sicuri dal punto di vista della gestione dei dati i prodotti, i servizi ed i processi aziendali.
Inoltre, l’adeguamento alle disposizioni del RGDP permetterà di trasmettere agli stakeholder dell’azienda (dipendenti, fornitori, clienti) un’immagine positiva e affidabile della società, che tiene particolarmente in considerazione la gestione sicura e controllata dei dati.
I punti chiave del regolamento sono i seguenti:
- Data Protection by Design: il responsabile del trattamento dati deve attuare le appropriate misure tecniche e organizzative progettate per aderire ai principi della protezione dei dati e integrare nei propri processi le più efficaci procedure di salvaguardia dei dati.
- Nuovi diritti per i cittadini: diritto all’accesso delle informazioni, diritto alla portabilità dei dati, diritto all’oblio, diritto alla rettifica dei dati, diritto all’obiezione al trattamento dei dati personali. Le organizzazioni devono essere pronte a rispondere proattivamente alle richieste dei cittadini che decidono di far valere i loro diritti.
- Consenso informato: i titolari del trattamento dati devono richiedere ai cittadini il consenso al trattamento dei loro dati personali in modo chiaro e trasparente. Secondo la normativa, il consenso può essere ritirato dai cittadini in un secondo momento. A questo scopo il soggetto detentore dei dati deve predisporre una procedura semplice ed intuitiva.
- Nomina del Responsabile della Protezione dei Dati (RPD): responsabile interno dell’azienda (o consulente esterno) che si occupa di tenere il registro dei trattamenti, valutare i rischi derivanti dal trattamento dei dati personali, ridurre il rischio di fuga di dati (data breach), comunicare con il Garante della Privacy e notificare le eventuali fughe di dati, comunicare con i cittadini (clienti, fornitori, dipendenti) nel caso in cui richiedano di far valere i propri diritti sui dati. I dati di contatto del RPD devono essere pubblicati sul sito aziendale.
- Data breach (fuga di dati): l’azienda deve comunicare eventuali fughe di dati al Garante della Privacy entro 72 ore e nei casi più gravi, avvertire le vittime del data breach. Rischio elevato di sanzioni nel caso in cui l’azienda non comunichi il data breach o non riesca a dimostrare di aver adottato le migliori prassi per prevenirlo.
- Registro dei trattamenti: registro in cui l’azienda tiene traccia dei dati che raccoglie, come vengono utilizzati e per quali scopi.
- Data Protection Impact Assessment (DPIA) – valutazione di impatto sulla protezione dei dati: processo continuo che ha l’obiettivo di ridurre i rischi di data breach attraverso l’adozione delle migliori prassi organizzative e delle tecnologie più aggiornate.
Se i principi del data protection by design, la tutela dei diritti dei cittadini, la comunicazione dei data breach e il consenso informato devono essere adottati da tutte le organizzazioni, la nomina del RPD, il registro dei trattamenti e la DPIA vanno implementati solamente al verificarsi di alcune condizioni (azienda di grandi dimensioni, trattamento di dati sensibili, monitoraggio e trattamento dati su larga scala ecc).
… ” quando inizi ad avere qualche bubu, non sentirti in forma … ti fai prescrivere le analisi e poi vai dagli specialisti per capire cosa fare”, in questo caso, funziona nello stesso modo; per analizzare la situazione aziendale è fondamentale un CHECK UP con oltre 50 aspetti su cui soffermarsi! … al termine del check up verrà fornito un report di azioni da intraprendere.
Da dove partiamo?
– individuazione delle vulnerabilità
– analisi conformità website
– analisi conformità privacy
– censimento dei dati
– verifica Compliance
– GAP Analysis
– Disaster Recovery
– DPIA (Valutazione d’impatto sulla protezione dei dati)
– piano di compliance
– …
Se pensate di avere bisogno di ulteriori informazioni e fare un check up della vostra situazione, scrivete a: gdpr@gemcommunication.com
Il check up ha un costo di 100,0 € e ti permette di capire cosa dovrai fare per essere a norma con il GDPR 2018!. Contattaci!