Per le aziende e le organizzazioni che trattano dati personali, il rispetto del GDPR è naturalmente fondamentale.
Diversi sono gli strumenti previsti e anche le pratiche per garantire la compliance al GDPR:
1. Assessment e mappatura dei dati - Gli strumenti di mappatura dati o i sistemi di gestione vengono utilizzati per identificare, classificare e mappare i dati personali trattati dall'organizzazione; l'inventario dei Dati ed i Registri delle attività di trattamento rappresentano la documentazione dettagliata avente ad oggetto quali dati sono raccolti, come vengono utilizzati, dove sono memorizzati e chi vi ha accesso.
2. Valutazioni di Impatto sulla Protezione dei Dati - Sono gli strumenti DPIA che aiutano a identificare e minimizzare i rischi per la Privacy derivanti da nuovi progetti o processi.
3. Consensi e gestione preferenze - Sono indispensabili per la gestione del consenso: per ottenere, registrare e gestire il consenso degli utenti in modo conforme al GDPR.
4. Crittografia e anonimizzazione dei dati - Gli strumenti di crittografia occorrono per proteggere i dati durante la trasmissione e lo stoccaggio, vengono utilizzati i software di anonimizzazione per rimuovere o modificare dati personali in modo che non possano essere ricollegati all'individuo.
5. Formazione e consapevolezza del Personale - I programmi di formazione preferibilmente in presenza ma anche on-line sono necessari per educare i dipendenti sulle pratiche di protezione dei dati e sulle politiche GDPR.
6. Accordi e clausole contrattuali - E' opportuno preparare dei template e degli strumenti che legalmente sono utili per assicurarsi che tutti i contratti con fornitori e partner includano le dovute clausole di protezione dei dati.
7. Gestione delle richieste degli interessati - Rappresentano gli strumenti per la gestione dei diritti degli interessati: per gestire richieste di accesso, rettifica, cancellazione, o trasferimento dei dati.
8. Audit e monitoraggio della conformità - Periodicamente (il periodo viene stabilito dal consulente Privacy o dal DPO in base alle attività) sono indispensabili gli audit della conformità: tramite revisioni ad hoc si ha la possibilità di condurre regolari controlli e verificare la conformità con il GDPR.
9. Policy e documentazione - E' fondamentale la generazione di policy personalizzate: strumenti che aiutano nella creazione di politiche sulla Privacy e procedure interne (si pensi all’utilizzo di strumenti informatici, Internet, videosorveglianza, strumenti di lavoro, ecc.).
10. Incident management e notifica di violazione dei dati - Sono strumenti per la gestione dei Data Breach: per rilevare, segnalare e gestire le violazioni di dati nel rispetto dei tempi previsti dal GDPR, la gestione spetta al Titolare del Trattamento o al DPO designato contrattualmente, anche se può capitare di chiedere aiuto al consulente Privacy per ottenere supporto nelle procedure.
Si ricorda come assumono rilievo in tale materia la creazione di Policy che rappresentano un passaggio fondamentale per assicurare la conformità alla normativa sulla protezione dei dati.
Al fine di strutturare una policy di privacy efficace è necessario innanzitutto spiegare lo scopo della policy, l'impegno dell'organizzazione nella protezione della Privacy e la rilevanza della policy per i dipendenti, clienti e partner.
Successivamente va definito l’ambito di applicazione e cioè a chi si applica la policy (es. tutti i dipendenti, i fornitori, i collaboratori).
Un passaggio fondamentale è rappresentato anche dalla indicazione di definizioni chiare come cosa si intende per "dati personali", "titolare del trattamento dei dati", "consenso", ecc.
È necessario, inoltre elencare i principi fondamentali della protezione dei dati (es. minimizzazione dei dati, limitazione della finalità, trasparenza, ecc.) e descrivere quali dati vengono raccolti, come vengono raccolti e per quali finalità.
Ovviamente ciò include dettagli su come vengono utilizzati i dati e le basi legali per il loro trattamento.
Naturalmente una policy deve anche spiegare con chi possono essere condivisi i dati (terze parti, autorità, ecc.) e in quali circostanze, inoltre vanno inclusi dettagli sui trasferimenti di dati internazionali, se applicabili.
Altro aspetto rilevante è la descrizione sui tempi di conservazione dei dati e le politiche per la loro eliminazione o anonimizzazione.
Vanno anche elencati i diritti degli interessati (accesso, rettifica, cancellazione, opposizione al trattamento, ecc.) e come possono essere esercitati.
Ampio spazio deve essere dedicato anche alle misure di sicurezza adottate per proteggere i dati personali da perdita, furto o abuso ed alla descrizione delle procedure in caso di violazione dei dati, comprese le notifiche alle autorità di regolamentazione e ai soggetti interessati.
Il contesto normativo e tecnologico è in costante evoluzione, quindi gli strumenti e le pratiche devono essere regolarmente aggiornati.
Si ricorda che la compliance GDPR richiede un approccio che coinvolga tutta l'organizzazione, dalla leadership ai team operativi.
Per qualsiasi chiarimento o ulteriore informazione in merito o per richiedere una consulenza specifica per la tua attività, contattaci, la nostra azienda può predisporre per te la documentazione necessaria ad ottenere la conformità al GDPR e fornirti tutta la consulenza che cerchi, a 360° e saremo lieti di fornirti le risposte a tutti i tuoi dubbi!
Enterprise Solutions
Tel. 0584 17 16 857 (4 linee r.a.)
Seguici anche su Facebook