Nonostante siano passati anni, da quando il GDPR (General Data Protection Regulation) è diventato legge, c’è ancora una notevole mancanza di comprensione su cosa è necessario per essere conformi. In sostanza, il GDPR controlla l’uso dei dati personali dei residenti in Italia e nella UE, in modo che non vengano utilizzati in modo inappropriato.
Queste misure garantiscono la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi di elaborazione. Vengono riviste e aggiornate se necessario. A causa della mancanza di standard formali, non esiste un approccio unico al GDPR.
Tuttavia, alle organizzazioni viene suggerito che, per raggiungere la conformità, devono seguire alcuni principi di base quando effettuano una revisione della conformità al GDPR. In questo articolo, discuterò di questi principi e di come il loro rispetto possa rafforzare il vostro impegno nei confronti della legislazione GDPR.
Analisi dei dati personali
Quasi tutti i tipi di aziende raccolgono dati personali e li elaborano. I dati personali sono definiti come informazioni che possono identificare una persona, mentre l’elaborazione dei dati calcola le informazioni personali utilizzando software appositamente programmati.
Nell’ambito della verifica della conformità, assicuratevi che il vostro registro delle attività di trattamento sia corretto. Questo include:
Quali tipi di dati personali state raccogliendo?
A chi appartengono?
Dove vengono conservati?
Con chi vengono condivisi?
Perché li avete?
Vi servono ancora?
È tenuto al sicuro e privato?
Chi può accedervi e perché?
Qual è il vostro processo di aggiornamento del Registro delle attività di trattamento?
Diritti degli interessati
Ogni persona che condivide i propri dati personali con la vostra azienda ha il diritto di essere informata sulla loro raccolta e sul loro utilizzo. Si tratta di una trasparenza fondamentale, come stabilito dal GDPR. Dovete verificare che il consenso sia dato liberamente e che sia specifico, informato e non ambiguo.
Tutte le aziende dovranno:
Rivedere il proprio processo di opt-in per il consenso;
Rivedere le modalità di gestione del consenso in corso;
Rivedere il processo di opt-out. Il consenso deve essere facile da revocare;
Rivedere le modalità di registrazione del consenso.
Per ogni persona che instaura un rapporto con la vostra azienda, e in caso di scambio di informazioni personali, dovrete renderla consapevole dello scopo del trattamento dei dati personali. Ad esempio, i dati possono essere acquisiti tramite abbonamento, piano fedeltà o acquisto online.
È inoltre necessario informare i clienti della durata di conservazione dei dati personali e delle persone con cui vengono condivisi. Questo si chiama “informativa sulla privacy”. Una politica sulla privacy GDPR è un documento che spiega gli obblighi e le pratiche di un’organizzazione per soddisfare i requisiti di conformità.
Nell’ambito della revisione, dovete aggiornare le vostre informative sulla privacy quando necessario. Se state assumendo personale, dovrete verificare se avete bisogno di ulteriori informative sulla privacy per coprire i candidati all’assunzione e gli appaltatori.
E quindi la richiesta di accesso ai dati da parte dell’interessato (DSAR), che viene definita come segue: Una persona interessata dovrebbe avere il diritto di accedere ai dati personali raccolti che la riguardano. E poi di esercitare il proprio diritto facilmente e a intervalli ragionevoli, per conoscere e verificare la legittimità del trattamento”.
Se una persona presenta una richiesta di accesso ai dati, la vostra organizzazione deve rispondere con una copia di tutte le informazioni in vostro possesso sull’interessato. Tutte le persone hanno il diritto di chiedere a un’azienda di cancellare i propri dati personali e le aziende devono dare seguito a questa richiesta immediatamente.
Per quanto riguarda la distruzione dei dati, dovrete:
Rivedere e aggiornare regolarmente i piani di conservazione e le politiche di distruzione.
Valutare come smaltire i dispositivi cartacei e hardware contenenti dati personali riservati. Potreste anche considerare se avete bisogno di una politica di triturazione o se potete esternalizzare lo smaltimento sicuro dell’hardware dei computer.
Valutazione del rischio di privacy
Quando i dati vengono elaborati utilizzando nuove tecnologie, le aziende devono tenere conto della natura, dell’ambito e del contesto in cui avviene il trattamento. Questo aspetto è trattato nell’articolo 35 del GDPR.
Prima di iniziare a trattare i dati, il responsabile del trattamento deve valutare l’impatto delle sue operazioni per garantire che non vi siano rischi per i diritti e le libertà delle persone. Per quanto riguarda l’articolo 35, le aziende devono valutare il motivo per cui si affidano ai legittimi interessi come base legittima per il trattamento.
Sicurezza e violazione dei dati
Una violazione dei dati, cioè un furto di dati, è una violazione della sicurezza. Si verifica quando dati sensibili, protetti o riservati vengono copiati, trasmessi, visualizzati, rubati o utilizzati da un soggetto non autorizzato.
Questo può avvenire in seguito ad attacchi da parte di persone che violano i dati per scopi personali o per vandalismo. Si verifica quando i sistemi di sicurezza sono configurati in modo inadeguato o attraverso lo smaltimento incauto di apparecchiature informatiche o supporti di memorizzazione dei dati.
Ad esempio: Quando documenti riservati, come i dati bancari, vengono lasciati sopra la scrivania o la stampante dell’ufficio, si parla di violazione dei dati perché persone non autorizzate possono accedere a queste informazioni.
Dovete disporre di una procedura per gestire le violazioni dei dati. Dovete essere in grado di rilevare quando si verifica una violazione e di indagare e riferire in merito. Dovrete rivedere e aggiornare se le vostre misure tecniche e organizzative sono adeguate al tipo di dati personali che trattate.
Prendete in considerazione la possibilità di ottenere certificazioni e standard e rivedete sempre i vostri processi di sicurezza dopo aver rilevato eventuali violazioni o vulnerabilità. Installate un piano di risposta agli incidenti.
Formazione
Dovete garantire che la formazione sul GDPR e sui dati personali sia aggiornata e impartita regolarmente. La formazione deve essere in linea con il ruolo del dipendente. La formazione pertinente comprende esempi utili che i dipendenti possono incontrare nel loro ruolo quotidiano. L’educazione e la consapevolezza sono un fattore chiave per prevenire i rischi, se fatte correttamente.
Contratti
I contratti sono essenziali per far sì che entrambe le parti comprendano le proprie responsabilità e oneri. Il GDPR spiega cosa deve essere incluso in merito alla conservazione e al trattamento dei dati personali. Rivedete e aggiornate regolarmente il contratto del vostro fornitore. L’articolo 28 della documentazione del GDPR tratta questo aspetto. Rivedete e aggiornate anche la vostra copertura assicurativa/responsabilità.
Trasferimenti internazionali
Se siete il responsabile del trattamento dei dati per la vostra azienda, assicuratevi di aver identificato tutti i trasferimenti transfrontalieri, interni ed esterni. Verificate che il vostro accordo di trasferimento dei dati all’interno del gruppo sia aggiornato. Assicuratevi di aver compreso le leggi sulla protezione dei dati di tutti i Paesi con cui collaborate e avete contatti.
Rivedere e aggiornare, se del caso, i trasferimenti transfrontalieri riguardanti i cittadini italiani. Potrebbe essere necessario stipulare un accordo internazionale di trasferimento dei dati o un addendum internazionale di trasferimento dei dati. Tutto ciò può diventare estremamente complicato.
Governance e responsabilità
La responsabilità è uno dei principi chiave della protezione dei dati. Vi rende responsabili della conformità al GDPR e dovete essere in grado di dimostrare la vostra conformità.
Dovrete mettere in atto misure tecniche e organizzative adeguate che soddisfino i requisiti di responsabilità:
Verificate se il vostro trattamento richiede la nomina di un responsabile della protezione dei dati. In caso contrario, potreste comunque volerne nominare uno;
Disporre di registri che dimostrino la vostra conformità;
Attuare verifiche periodiche del vostro quadro normativo in materia di privacy per garantire una conformità costante.