Il 25 Maggio 2018 è più vicino di quanto sembri e il GDPR è in arrivo. Con queste due puntate dedicate al General Data Protection Regulation abbiamo cercato di fornire le principali linee guida circa le modifiche che il nuovo regolamento comporta.
Come anticipato nel nostro precedente articolo ecco quindi gli ultimi 6 step per essere in regola con il GDPR.
IL CONSENSO AL TRATTAMENTO
Per ogni organizzazione sarà indispensabile verificare le modalità con cui viene richiesto, raccolto e gestito il consenso al trattamento dei dati personali. Questo vuol dire che dovrà sempre esserci una scelta deliberata e il consenso deve essere sempre separato da istanze riguardanti termini e condizioni e dovrà permettere alle persone di verificarlo ed eventualmente revocarlo in modo semplice. Se questi metodi non vengono pienamente rispettati, allora dovranno essere ripensati i meccanismi dell’intero processo in ottica di adeguamento al GDPR.
I MINORI
Per la prima volta, una normativa sul trattamento dei dati introduce una tutela relativa ai minorenni con riferimento in particolare ai social network e al commercio elettronico. Se la vostra organizzazione fornisce servizi online a minori di 16 anni e vi basate sul consenso per raccogliere informazioni che li riguardano, allora avrete probabilmente bisogno del consenso di un genitore o di un tutore per trattare i loro dati in modo legale ma anche, e soprattutto, di ripensare la vostra comunicazione in merito, affinché abbia un linguaggio comprensibile anche ai più giovani.
LE VIOLAZIONI DEI DATI
Tutte le organizzazioni hanno il dovere di accertarsi di aver implementato le corrette procedure per identificare, riportare e indagare le violazioni di dati personali. Il GDPR introduce però l’obbligo di di notificare le eventuali violazioni che mettono a rischio i diritti e le libertà individuali. In casi ad elevato rischio, andranno avvisati anche tutti i soggetti che sono coinvolti direttamente. Dovranno essere quindi verificati i tipi di dati sono effettivamente in possesso dell’azienda e e come prevenire e quindi agire nel caso si verifichi una violazione: dal regolamento sono previste pesanti sanzioni sia in caso di violazioni che di mancata comunicazione.
LE VALUTAZIONI D’IMPATTO
Il GDPR introduce come requisito legale la privacy pianificata: il sistma di gestione dei dati personali deve essere costruito pensando da subito alla privacy degli utenti. Privacy by default significa proteggere i dati fin dalla progettazione e per impostazione predefinita. Effettuare valutazioni dell’impatto sulla privacy – la cosiddetta PIA (Privacy Impact Assestment) con il General Data Protection Regulation diventa obbligatorio. In alcuni casi come diventa obbligatoria anche la definizione di DPIA (Data Protection Impact Assessment) come ad esempio quando l’azienda utilizza una tecnologia, quando un’operazione di profilazione tocca le persone in modo significativo o in caso di categorie speciali dati. Valutare gli impatti sulla privacy e sulla sicurezza dei dati non solo è buona prassi ma è imposto dalla legge.
I RESPONSABILI
Tra le norme più impattanti del GDPR sta assumendo grande rilievo quella che riguarda la nomina, obbligatoria, di un DPO (Data Protection Officer): il nuovo ruolo può essere svolto sia da una persona all’interno dell’organizzazione sia da un consulente esterno che sarà incaricato della responsabilità circa l’ adeguamento alla nuova normativa.
L’INTERNAZIONALIZZAZIONE
Le organizzazioni che operano in più di uno stato membro dell’Unione Europea saranno obbligate a individuare l’autorità guida (“lead authority”) di supervisione alla protezione dei dati nello stato all’interno della UE in cui risiedono la sede principale e l’amministrazione dell’organizzazione oppure in cui si prendono decisioni in merito ai dati. Il GDPR prevede infatti che l’organizzazione effettui un trattamento di dati trans-frontaliero e è quindi opportuno individuare la località in cui avvengono i principali processi decisionali e l’autorità guida di supervisione.
Sei pronto al GDPR? Noi di Sarce sì. Abbiamo messo a punto un piano di azione dedicato al nuovo regolamento europeo che partendo da una consulenza specializzata si traduce nelle giuste contromisure tecnico organizzative per evitare di incappare nelle sanzioni che il GDPR prevede. Servizi di security aziendale saranno cuciti sulle esigenze della tua azienda in modo da aderire al nuovo regolamento.