Adeguamento Gdpr: 7 cose da sapere

Dallo scorso 25 maggio è divenuto operativo il regolamento europeo 2016/679 sul trattamento dei dati personali. In alcuni casi, scatenando un vero e proprio panico da adeguamento al gdpr ma vediamo 7 cose che c’è da sapere.

Sei riuscito a completare l’adeguamento al Gdpr in questi mesi? Come si suol dire, hai fatto bene i compiti?

Partiamo da basi sicure. Sicuramente abbiamo capito che il regolamento GDPR si applica ai residenti nella Unione Europea.

Abbiamo sicuramente capito anche che, a prescindere da dove sia collocata l’azienda, da dove abbia la sede, se i clienti della stessa sono residenti in UE, il regolamento si applica. 

Richiedi una consulenza per adeguare la tua attività al gdpr

Quindi buon inizio.

Ma affondiamo il coltello nella piaga e controlliamo se alcuni passaggi sono stati onorati e approfonditi. Se sì, allora possiamo dire di aver passato i primi test e che sappiamo bene cos’è il Gdpr e sappiamo come muoverci al suo interno allo scopo di creare una azienda sostenibile prima ancora che compliant.

7 cose da sapere per l’adeguamento al Gdpr (anche se la lista non è esaustiva, lo facciamo per confermare a noi stessi i buoni propositi di inizio anno):

1)   Hai sottoposto l’azienda alle prime ed essenziali indagini?

E’ importante documentare il processo di analisi in modo da essere pronti al 100% se le autorità venissero a bussare.

Riassumendo significa: conoscere quali dati hai sui clienti e sui visitatori.

Spiego meglio.

Conoscere a fondo i database a tua disposizione (esempio: database del server, documenti fisici che sono stati riportati su file e qualsiasi altra forma di informazione personale che possa essere identificata) e di conseguenza sapere di aver creato un <<inventario di conoscenza approfondita>> delle persone e dei dati personali delle stesse che ruotano intorno alla tua azienda (Indirizzi IP, Messaggi di posta elettronica, Numeri di telefono, Dati geografici, Informazioni personali sensibili e private, ecc…) ti renderà sicuro sul fatto di aver mappato e documentato ciò che serve.

2)   Quando conosci tutto dei dati personali che ruotano attorno alla tua azienda, devi adottare misure per proteggerli. Dove sono archiviati i dati? Chi ha accesso a questi archivi? Quali sono le procedure in essere in caso di violazione della sicurezza del dato? Un aspetto su cui riflettere è come essere certi che le misure di sicurezza a disposizione siano anche idonee alle nuove esigenze del mercato e come creare politiche chiare per adottarle e sostenerle.

Facciamo un esempio: sai che in qualche modo c’è stata violazione alla sicurezza ai dati personali che la tua azienda detiene. Il GDPR afferma che è necessario segnalare violazioni della sicurezza, quindi già conosci la procedura che dovrai adottare per dare questo avviso?

3)   Il GDPR dichiara che se una persona richiede informazioni circa i suoi dati personali detenuti dalla tua impresa, tu devi essere pronto a risponderle, quindi a fornire tutte le informazioni in possesso sulla persona e il modo in cui li tratti. Ergo, dovrai aver creato un processo che sia in grado di aiutarti a gestire questo tipo di richieste in modo rapido e preciso. Il plus sarebbe gestire la risposta con un semplice clic e quindi realizzare un percorso informatico che ti permetta di essere appunto rapido e preciso.

4)   I dati personali non possono essere trattati senza uno scopo specifico. Se non hai una ragione specifica per trattenere nei tuoi archivi quel dato, devi distruggerlo e/o eliminarlo. Trattare e detenere i dati è una violazione del GDPR (infatti bisogna spiegare nelle informative come tratti i dati, per cosa li utilizzi, chi vi accede e nel caso si verificassero violazioni, quali misure adotterai per fronteggiare la situazione tra le altre cose), il tutto veicolato in un gergo chiaro e senza (per così dire) ghirigori linguistici conditi da un forbito legalese.

5)  Creare una procedura per l’eliminazione del dato qualora ti venga richiesto. Un residente UE può richiedere che tutte le informazioni che lo riguardano vengano rimosse dai database della tua azienda. Questo non dovrebbe essere un compito difficile, anzi deve essere il più snello ed efficiente possibile

6)   C’è chi si è “cancellato” dalla lista della tua newsletter? Se sì, devi essere certo che non riceva in futuro informazioni non richieste con qualsiasi mezzo (e-mail, SMS, ecc…). Assicurati di non avere indirizzi duplicati.

7)   Tutte le persone che lavorano con te conoscono le azioni da attuare per essere GDPR compliant? Sanno come comportarsi e come gestire le procedure? Hai provveduto per esempio ad inviare un breve documento ai membri del team che delinei le nuove responsabilità e i nuovi ruoli?

Per conoscere altri Buoni Propositi, questo sito (Garante inglese) chiaro e semplice può far al caso vostro.

Emma Gabriele, consulente privacy

Iscriviti alla newsletter di Professione DPO