GDPR: cosa fare per adeguarsi subito al nuovo modello di gestione della privacy in azienda

23 Mag. 2018
GDPR: cosa fare per adeguarsi alla normativa


Il 24 maggio 2016 è entrato in vigore a livello di Comunità Europea il nuovo Regolamento Generale sulla Protezione dei Dati (General Data Protection Regulation – GDPR), che uniforma le normative sulla privacy in tutti i paesi europei, semplificando il contesto normativo e garantendo ai cittadini il controllo sui propri dati personali. Le norme saranno applicabili a partire dal 25 maggio 2018, data entro cui le aziende dovranno strutturare misure organizzative e tecniche idonee alla salvaguardia e al controllo del rischio in tutti i processi aziendali.

Il GDPR è un punto di svolta in materia della protezione dei dati: la gestione dei dati personali non sarà più limitata al rispetto dei requisiti della norma, ma dovrà diventare un processo aziendale che mette al primo posto la privacy degli utenti e informa l'intera organizzazione, pena pesanti sanzioni pecuniarie. Ecco alcuni degli adempimenti che le aziende (ma anche di enti pubblici, liberi professionisti e associazioni) dovranno rispettare per recepire correttamente la normativa.

Dimostrare l’accountability

La responsabilizzazione è il principio fondamentale del Regolamento: l’azienda deve adottare comportamenti proattivi e dimostrare l’adozione concreta di misure finalizzate ad assicurare l’applicazione del regolamento, attraverso modalità, garanzie e limiti definiti in autonomia.

Definire le modalità del trattamento dei dati con un’analisi preventiva

Il regolamento definisce un criterio chiamato “data protection by default and by design”, secondo cui l’azienda deve analizzare il contesto in cui avviene il trattamento prima di procedere al trattamento dei dati vero e proprio. Questo processo di valutazione preventivo deve individuare le misure da implementare per gestire il trattamento e limitarne i rischi, garantendo i diritti e le libertà degli interessati. Solo se le misure individuate saranno giudicate in linea con il regolamento, l’azienda potrà procedere con il trattamento dei dati.

Nominare un RPD

Tutte le aziende potranno (e, in casi specifici, dovranno) nominare un Responsabile della Protezione dei Dati (Data Protection Officer - DPO), una nuova figura professionale incaricata di controllare e coordinare le nuove politiche sulla privacy. È importante sottolineare che l’azienda ha la responsabilità di accertare che il designato abbia le competenze idonee allo svolgimento della funzione e deve comunque rispondere delle eventuali violazioni del GDPR.

Assicurare formazione ai dipendenti coinvolti

Per rivisitare immediatamente i propri processi interni ponendo priorità e precedenza alla privacy degli utenti, le aziende devono potenziare la comunicazione interna attraverso programmi di formazione specifica, assicurandosi che chi accede ai dati personali degli utenti sappia correttamente entro quali limiti poter svolgere la propria attività.

Creare un registro dei trattamenti

I titolari e i responsabili della protezione dei dati (a esclusione degli organismi con meno di 250 dipendenti che non effettuano trattamenti a rischio) devono compilare un registro delle operazioni di trattamento, in forma elettronica o scritta, che documenti e dimostri la conformità alla normativa.

Notificare le violazioni di dati personali.

Tutti i titolari (non soltanto i fornitori di servizi di comunicazione elettronica, come avviene oggi) dovranno notificare all’Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza e da cui derivino rischi per i diritti e le libertà degli interessati, entro 72 ore.

Top Advices

COME STA CAMBIANDO IL MONDO DEL LAVORO TRA NUOVE COMPETENZE E TECNOLOGIE
Tags
GDPR
General Data Protection Regulation
trattamento dei dati personali
normativa sulla privacy
privacy policy