Adeguamento GDPR

1. Privacy by default e privacy by design

Quando si sente parlare di privacy by default e privacy by design si intende dire che la tutela dei dati personali deve essere pensata e impostata sin dall’inizio della propria attività, sia che si tratti di vendita di prodotti o servizi. Si deve più che altro prevenire, laddove possibile, non tanto correggere gli errori nell’applicazione della normativa privacy.

2. Verifica degli obblighi privacy

Il primo step per adeguarsi al GDPR è verificare se, e in quale misura, la normativa privacy debba essere applicata in relazione ad una determinata attività commerciale. Dopo aver verificato le disposizioni applicabili del GDPR, analizzato la propria attività e accertato i propri obblighi, sarà possibile programmare gli interventi necessari per adeguarsi alla normativa privacy. Il principio di accountability, principio fondamentale del GDPR, richiede che il Titolare del trattamento metta in atto misure tecniche o organizzative adeguate al fine di garantire che il trattamento è eseguito conformemente al GDPR. Il Titolare deve essere in grado di dimostrare che le misure adottate sono adeguate alla propria attività. L’adeguamento alla normativa privacy è spesso sottovalutato, perché è visto principalmente come una procedura per evitare sanzioni. In realtà, i dati personali, se raccolti e utilizzati correttamente rappresentano una risorsa importante per qualsiasi azienda. I dati personali sono utilizzati per le attività di marketing, ma anche per migliorare i servizi in base alle reazioni dei clienti e per migliorare le procedure interne che coinvolgono i propri dipendenti.adeguamentoprivacy

3. Formazione

La formazione sulla privacy all’interno di un’azienda è fondamentale per garantire la conformità alle leggi sulla protezione dei dati personali e per attuare gli interventi di adeguamento programmati all’interno dell’azienda. Prima di attuare qualsivoglia misura di adeguamento privacy, è importante comprendere chi abbia bisogno di formazione sulla privacy all’interno dell’azienda. Questo può includere tutti i dipendenti o una parte dell’organico. Identificare i ruoli e le responsabilità specifiche legate alla gestione dei dati personali è uno step fondamentale. Basandosi sulle esigenze identificate dall’analisi dell’attività svolta, si potrà sviluppare un programma di formazione completo. Il programma dovrebbe coprire i principi fondamentali della privacy dei dati, le leggi applicabili, le politiche e le procedure aziendali, nonché le migliori pratiche per la protezione dei dati. Sarà necessario adattare il programma di formazione in base ai ruoli e alle responsabilità dei dipendenti. E’ molto importante assicurarsi che la formazione sia pertinente per ciascun gruppo a seconda delle mansioni lavorative. La formazione sulla privacy è un investimento importante per la sicurezza dei dati e la conformità legale. Assicurarsi che tutti i dipendenti comprendano e rispettino le leggi sulla privacy è fondamentale non solo per evitare violazioni dei dati e proteggere la reputazione dell’azienda, ma sopratutto per implementare correttamente gli interventi di adeguamento privacy programmati dall’azienda.

4. Nomine GDPR

Identificati i soggetti, le relative responsabilità e il trattamento, sarà possibile procedere con le nomine GDPR.

5. Registro delle attività di trattamento

Il Titolare del trattamento deve tenere un registro delle attività svolte sotto la propria responsabilità. In questo registro verranno inserite le seguenti informazioni:

  • -informazioni di contatto del titolare e degli altro soggetti coinvolti nel trattamento;
  • -le finalità del trattamento;
  • -le categorie di dati personali e trattamenti effettuati;
  • -una descrizione generale delle misure di sicurezza tecniche e organizzative adottate.

Il registro viene solitamente messo a disposizione delle Autorità in caso di controlli. In alcuni casi il registro è obbligatorio, ma considerato che consente la mappatura dei dati personali e dei trattamenti effettuati dall’azienda, è uno strumento utile che si consiglia di adottare per avere un controllo concreto in ambito privacy.

6. Modello organizzativo privacy – MOP

documentazioneprivacy

A proposito dell’importanza di documentare le attività in ambito privacy, pur non essendo obbligatorio per legge, può essere utile la redazione di un Modello Organizzativo Privacy – MOP

7. Misure di sicurezza

Il GDPR non indica le misure di sicurezza che il Titolare deve attuare. Ogni impresa deve partire dal proprio Modello Organizzativo Privacy (MOP) e procedere in base alle specifiche necessità. Ad esempio: rischio intrusione con screensaver e firewall; formazione degli incaricati al trattamento; accesso controllato alle banche dati sensibili (dati particolari).

8. Valutazione d’impatto sulla protezione dei dati personali

Il GDPR prevede che se un soggetto pone in essere un trattamento specifico o possa presentare un rischio elevato per i diritti delle persone interessate, il Titolare, prima di procedere con il trattamento dei dati personali, debba effettuare una valutazione di impatto. Nel corso di questa procedura saranno descritti:

  • -i trattamenti con le relative finalità;
  • -la proporzionalità dei trattamenti in relazione alle finalità perseguite;
  • -i rischi per gli interessati;
  • -misure di protezione dei dati per proteggere i diritti e gli interessi legittimi.

9. Audit

Implementare tutte le misure necessarie e adeguarsi alla normativa privacy, poco importa se tutte le procedure non sono periodicamente verificate e aggiornate. Le norme cambiano in continuazione e i provvedimenti del Garante Privacy spesso forniscono ulteriori dettagli e indicazioni utili per l’applicazione della normativa. E’ fondamentale procedere con verifiche periodiche, coinvolgendo i soggetti interessati per mantenere efficienti tutte le procedure interne.

10. Reputazione online

Un aspetto da non sottovalutare, è che le violazioni della privacy – oltre alle conseguenze previste dalla legge – possono danneggiare gravemente la reputazione dell’azienda. I clienti, i partner commerciali e gli investitori possono perdere fiducia in un’azienda che non tratta correttamente i dati personali e non rispetta i diritti degli interessati. Spesso i provvedimenti del Garante Privacy hanno una diffusione nazionale per l’importanza dei principi affermati e vedere il nome della propria azienda su quotidiani e siti web di vario genere non aiuta sicuramente le relazioni esterne, in caso di sanzione e qualora fosse accertata una condotta non conforme al GDPR.

Se vuoi adeguare la tua attività commerciale alla normativa privacy clicca il pulsante qui sotto e prenota una consulenza video o telefonica.

Prenota una consulenza