ll General Data Protection Regulation (GDPR) è stato introdotto dal legislatore con il fine di armonizzare la normativa sulla privacy all’interno dell’Unione Europea.
Il GDPR abroga, pertanto, la direttiva 95/46/CE in materia di protezione dei dati personali, concepita in un periodo nel quale solo l’1% della popolazione europea utilizzava internet e non esistevano social media, tablet, app, …
Il GDPR, in sintesi, introduce il concetto del «data protection by default and by design», che impone alle aziende di adottare tutte le garanzie necessarie per soddisfare i requisiti del GDPR e tutelare i diritti degli interessati, prima di avviare il trattamento dei dati personali.
La protezione del dato personale è quindi un aspetto cruciale che ciascuna azienda deve affrontare sin dalla fase di progettazione del servizio e che quindi ha un inevitabile impatto sia sui processi che sui sistemi informativi dell’azienda.
Regolamento UE 679/2016
Pienamente applicabile dal 25 maggio 2018
General Data Protection Regulation
Il percorso per la compliance al GDPR
Cosa fare?
E’ anzitutto necessario comprendere se la vostra azienda presenta dei gap nei confronti del GDPR e quindi individuare le azioni da adottare per recepire le disposizioni normative.
L’analisi deve essere svolta considerando sia gli aspetti organizzativi e normativi, che quelli concernenti le misure di sicurezza.
Avviare un «percorso» strutturato e contestualizzato finalizzato a favorire il passaggio al GDPR e al mantenimento dei requisiti richiesti dalla legge nel tempo.
Insight e Agic Technology
12 consigli sul GDPR
1. Identifica i dati personali che tratti
Sii consapevole di quali dati personali tratti. Identificane la provenienza, le motivazioni per cui li tratti e se è effettivamente indispensabile conservarli.
2. Conserva soltanto i dati personali utili per le finalità del trattamento
Monitora se il periodo di conservazione dei dati personali che tratti è coerente con le finalità per cui sono stati raccolti o con altri obblighi di legge applicabili. Individua i dati personali la cui conservazione non è più necessaria e adotta misure che ti tutelino dall'effettuare trattamenti "non dovuti".
3. Adotta un "modello organizzativo" per gestire gli adempimenti previsti dal GDPR
Definisci una struttura oganizzativa della tua azienda che identifichi ruoli e responsabilità, sia interni che esterni, per gestire gli adempimenti normativi del GDPR.
4. Aggiorna le policy e le procedure per la protezione dei dati personali
Documenta ruoli, responsabilità e modalità operative per la gestione della sicurezza del dato all'interno di policy e procedure organizzative. Assicura che tali documenti siano accessibili ai destinatari e che questi ultimi siano stati adeguatamente formati sui contenuti dei suddetti documenti.
5. La "privacy by design" come principio fondamentale
La protezione del dato personale è un aspetto cruciale che ciascuna azienda deve affrontare sin dalla fase di progettazione di un servizio e che quindi ha un inevitabile impatto sia sui propri processi che sui sistemi informativi.
Adotta misure organizzative e tecniche adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.
6. Preparati per gestire casi di "data breach"
Il GDPR introduce l'obbligo di notificare all’autorità di controllo violazioni di dati personali di cui si è a conoscenza entro 72 ore, se si ritiene che da tale violazione derivino dei rischi. E’ altresì previsto l’obbligo di notificare la violazione al diretto interessato quando la violazione sia tale da poter determinare un rischio elevato per i diritti e le libertà fondamentali dell’interessato.
Implementa misure tecniche e organizzative idonee a rilevare e notificare eventuali violazioni dei dati personali.
7. Preparati per gestire i diritti degli interessati
Diversi sono i diritti riconosciuti all’interessato dal GDPR. In particolare: a) il diritto di accesso che comporta il diritto di ricevere una copia dei dati oggetto di trattamento; b) il diritto all’oblio, cioè il diritto di cancellazione dei dati, che prevede che l’interessato possa richiedere la cancellazione dei propri dati anche dopo la revoca del consenso; c) il diritto di limitazione del trattamento che si applica anche solo se l’interessato chiede la rettifica dei dati o si oppone al loro trattamento; d) il diritto alla portabilità dei dati che si applica in presenza del consenso dell’interessato o per l’adempimento di obblighi contrattuali e limitatamente ai dati forniti dall’interessato stesso.
Implementa misure tecniche e organizzative per la gestione dei diritti degli interessati.
Sei responsabile di dimostrare il motivo di conservazione, del trattamento e l'integrità dei dati personali.
8. Maggiore responsabilità: sei pronto?
Principio teso a responsabilizzare i titolari del trattamento, affinché questi adottino approcci e politiche che tengano conto del rischio che un determinato trattamento di dati personali possa rappresentare per i diritti e le libertà degli interessati.
Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari del trattamento il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali.
9. Designazione del Data Protection Officer (DPO)
Nuova figura introdotta dal GDPR. Si tratta di un professionista con i compiti di informare e fornire consulenza al titolare del trattamento, sorvegliare sull’osservanza della normativa di riferimento, nonché delle politiche del titolare del trattamento, fornire - se richiesto - un parere in merito alla valutazione d’impatto sulla protezione dei dati, cooperare con l’autorità di controllo e fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento.
Verifica se la tua azienda ha l'obbligo di designare un DPO e in caso affermativo formalizza la sua nomina.
10. Effettua ogni volta che è necessario una "Privacy Impact Analysis"
Ciascun titolare del trattamento deve effettuare, nei casi previsti dalla normativa, una valutazione di impatto sulla protezione dei dati. Ciò comporta la necessità di valutare in via preliminare l’impatto, dal punto di vista della privacy, di ogni operazione di trattamento dei dati che sarà svolta.
11. Predisponi e aggiorna il Registro delle attività di trattamento
Nei casi previsti dal GDPR, le aziende devono tenere un registro delle attività di trattamento svolte.
Assicura la predisposizione del documento e il suo aggiornamento.
12. Sii trasparente nei confronti dell'interessato
L’articolo 5, paragrafo 1, lettera a) del GDPR, prescrive che i dati personali siano trattati in modo trasparente nei confronti dell’interessato. La trasparenza è pertanto un elemento costitutivo fondamentale della responsabilizzazione del titolare del trattamento.