Go to Top

Mancano solo pochi giorni: controlla se hai soddisfatto i requisiti del GDPR

GDPR e l'elenco da spuntare

Adesso non si scherza più, i giochi sono quasi fatti. Il 25 maggio avrà piena efficacia il nuovo regolamento generale dell’UE sulla data protection (GDPR) e da quel giorno in poi potranno essere comminate pesanti sanzioni alle aziende che non hanno preso sul serio la questione della protezione dei dati. Visto il poco tempo rimasto, un’ottima idea da mettere in pratica subito è fare un’accurata verifica interna per essere più che certi di non aver dimenticato nessun passaggio nell’implementazione del GDPR. Ecco quindi una checklist, da spuntare passo dopo passo.

  • Verificare se l’azienda raccoglie regolarmente o sistematicamente informazioni personali di soggetti dell’UE su larga scala

Anche se può sembrare una questione semplice,  è in effetti la ragione principale per cui siamo obbligati a conformarci al nuovo regolamento GDPR. Se non risiedete all’interno dell’UE e non intrattenete rapporti d’affari con aziende dell’UE, allora il GDPR non ha alcun effetto su di voi. Se invece fate affari con società europee allora dovete essere conformi al nuovo regolamento. Se processate dati personali di qualsiasi soggetto interessato dell’UE, vi è richiesto di seguire i requisiti di sicurezza previsti dall’articolo 30 del GDPR, oltre ad altri punti contenuti nel regolamento.

  • Controllare dove sono stati archiviati i dati sensibili

È essenziale sapere dove sono effettivamente memorizzati i dati personali sensibili nel vostro sistema. Senza questa informazione…avete un problema! Dato che i cittadini dell’UE possono richiedere che le proprie informazioni archiviate siano cancellate per sempre, dovete essere sicuri al 100% di conoscere la posizione esatta in cui questi dati sono custoditi, in moda da essere in grado di cancellarli in breve tempo.

  • Essere in grado di accedere, cancellare e modificare rapidamente i dati personali

Inoltre, dato che con il GDPR gli individui hanno maggiori diritti di accedere alle proprie informazioni, dovreste essere in grado di correggere le inesattezze, cancellare le informazioni, interrompere la fornitura di informazioni di direct marketing e la raccolta automatizzata dei dati con informazioni personali entro un lasso di tempo breve.

  • Verificare se i processi e le soluzioni IT implementano la “privacy by design”

Nell’articolo 25, il GDPR introduce il concetto di protezione dei dati attraverso il design tecnologico e preimpostazioni ottimizzate per la privacy. Questo concetto parte dall’idea che si può ottenere una migliore protezione dei dati se è già tecnicamente integrata quando viene sviluppata un’operazione di elaborazione dei dati. Ciò significa che le misure di protezione dei dati sono meglio integrate all’interno del sistema IT e con adeguati processi organizzativi prima che il sistema sia operativo per la prima volta.

Se ciò non è possibile perché il sistema IT sarà operativo ancora per diversi anni, siete obbligati a implementare adeguate misure tecniche per salvaguardare i diritti e le libertà dei soggetti interessati.

In qualsiasi caso, quando si implementa un sistema IT che raccoglie, memorizza o processa informazioni personali, si dovrebbe fare un’approfondita valutazione dei rischi per tali diritti e libertà in base alla soluzione scelta.

  • Avere a disposizione una soluzione di cancellazione dei dati funzionante all’interno del proprio sistema IT

Uno degli aspetti principali del regolamento GDPR è il diritto di un individuo sui propri dati personali. Nella realtà aziendale ciò significa che, se non avete una legittima necessità di trattenere ulteriormente i dati personali, per esempio per motivi legali, il partner, dipendente o cliente può richiederne la cancellazione sicura.

Come evidenziato in precedenza, l’esatta posizione in cui questi dati sono archiviati deve essere nota in qualsiasi momento. Queste informazioni si possono ottenere mediante varie soluzioni di gestione dei dati. Tuttavia, una volta identificata la posizione dei dati, essi devono essere cancellati in sicurezza con una soluzioni professionali, come il software Blancco distribuito da Ontrack. Uno dei vantaggi principali offerti da questi software è che non solo garantiscono cancellazioni con un elevato livello tecnologico ma, nel caso fosse necessario, possono anche offrire una prova che i dati sono stati cancellati con successo. Pertanto, è fondamentare integrare una soluzione di cancellazione di questo tipo nell’intero processo di gestione dei dati e nei processi e soluzioni IT.

  • Implementare un piano di risposta in caso di eventuale violazione di dati

Nel caso venisse scoperta una violazione dei dati, ai sensi del nuovo regolamento, la società deve riferire la violazione all’agenzia per la protezione dei dati del proprio Paese. Pertanto, uno degli scopi principali del piano di risposta alle violazioni dei dati, è quello di scoprire l’impatto di un’eventuale violazione e se i dati sensibili riguardanti i cittadini dell’UE sono compromessi.  Inoltre, il piano dovrebbe includere delle misure rapidamente implementabili, idonne a limitare e prevenire la compromissione di ulteriori dati sensibili.

Infine, se non l’avete ancora fatto, dovreste:

  • Nominare un Data Protection Officer

Il GDPR richiede la nomina di un Data Protection Officer (DPO) per tutte le organizzazioni, se…

  • L’organizzazione che elabora i dati è un ente pubblico (fatta eccezione per i tribunali)
  • La società o l’organizzazione elabora i dati su larga scala e le operazioni di elaborazione, “tenuto conto della natura, del contesto, dell’ambito di applicazione e delle finalità del trattamento”, richiedono un monitoraggio regolare e sistematico dei dati interessati e
  • La società o l’organizzazione elabora grandi quantità di dati personali e sensibili, come per esempio tutti i dati che rivelano l’origine etnica o di razza, le opinioni politiche, le credenze religiose o filosofiche, le condizioni sanitarie ecc. oltre ai dati che sono correlati a condanne penali e reati.

In breve, le grandi imprese devono nominare un DPO. Il compito principale del DPO è assicurarsi che nella propria azienda siano attivati e funzionanti gli adeguati processi per la gestione legale dei dati ai sensi del GDPR. Inoltre, il DPO deve monitorare in maniera permanente i processi, i dati esistenti e quelli nuovi, in modo che la gestione delle informazione venga sempre effettuata nel pieno rispetto della normativa.

Concludendo: Avete poco meno di un mese per verificare se i punti sopra citati sono già stati gestiti nella vostra azienda. In caso contrario, ricordatevi che le sanzioni previste dal GDPR in caso di violazioni possono arrivare fino al 4% del fatturato mondiale ed è quindi consigliabile essere previdenti e verificare più volte se siete conformi alla nuova regolamentazione. Se invece qualcuno di questi punti non fosse ancora stato preso in considerazione… è davvero ora di sbrigarsi!

Copyright immagine: qimono /pixabay.com

https://pixabay.com/en/club-auction-law-symbol-judge-2492011/

CC0 License

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *