Conformità GDPR: la tua azienda è pronta?

Assicurati che la tua organizzazione sia conforme alle normative GDPR prima e dopo la scadenza del 25 maggio

 

Con le organizzazioni di tutta Europa che corrono per conformarsi al regolamento generale sulla protezione dei dati (GDPR) dell’UE entro la scadenza del 25 maggio, è facile perdersi alcune fasi cruciali del processo.

Dalla formazione del personale sulle migliori pratiche alla nomina di un responsabile della protezione dei dati (DPO) e all’individuazione di tutti i dati, le organizzazioni di tutte le dimensioni devono assicurarsi di adottare le misure appropriate per proteggere i dati archiviati o elaborati e trattarli in linea con le nuove regole di protezione dei dati.

Sebbene molti concetti chiave del GDPR siano coperti dal Data Protection Act (DPA) del 1998, una serie di nuovi elementi, e standard più rigorosi, faranno sicuramente confondere qualsiasi organizzazione che affretta le sue procedure di conformità. L’autorità per la protezione dei dati, l’Ufficio del Commissario responsabile per l’informazione (ICO), raccomanda alle organizzazioni di utilizzare il loro approccio esistente alla conformità come punto di partenza da cui possono iniziare. Ma cosa comporta esattamente la conformità con il GDPR? Passiamo attraverso gli elementi chiave, in modo da poterli esaminare e “spuntarli” dalla lunga lista di cose da fare.

GDPR: it e governance dei dati

IT e governance dei dati

Controlla tutte le informazioni in tuo possesso:
devi creare un elenco dei dati personali che possiedi e ordinarli per tipo, ad esempio nomi, indirizzi, numeri di telefono e così via. È inoltre necessario fornire una fonte per ogni singola informazione documentata.

Determinare i motivi per cui si mantengono le informazione acquisite:
Il GDPR richiede di stabilire una base giuridica per la raccolta dei dati, che sarà necessaria per delineare le norme sulla privacy. Determinare come e perché si utilizzano i dati, renderà più semplice la comunicazione ai propri clienti. Accettare il consenso non è la base più affidabile per raccogliere dati, considerando che gli utenti possono revocare tale consenso in qualsiasi momento, quindi vale la pena considerare le varie opzioni.

Stabilire come archiviare i dati e con chi vengono condivisi:
potrebbe trattarsi di un elenco di database interni, ma potrebbe anche includere negozi offline e provider di archiviazione di terze parti. È necessario stabilire con quali parti si condividono i dati in modo che, nel caso fosse necessario eliminarli o modificarli, sia possibile informare un’organizzazione associata che deve anche aggiornare i propri record.

Documentare come vengono elaborati i dati:
le organizzazioni dovranno delineare tutte le attività di elaborazione, compreso il mantenimento del nome e dei dati di contatto dei responsabili del trattamento, nonché le categorie di trattamento effettuate e i trasferimenti di dati personali verso un paese terzo ‘adeguato’ (uno che si trova al di fuori dello Spazio economico europeo, ma le cui misure di protezione dei dati sono ritenute adeguate per i trasferimenti di dati) o l’organizzazione internazionale.

Rinnova la tua politica sulla privacy:
le organizzazioni devono scrivere una politica sulla privacy chiara e comprensibile che sia pubblicamente accessibile sui propri siti web. Ciò deve chiaramente stabilire la base legale per la raccolta e l’elaborazione dei dati in un linguaggio conciso, facile da capire e chiaro. Una comunicazione chiara aiuterà a costruire una fiducia a lungo termine nei clienti.

Aggiornare i consensi esistenti se necessario:
il consenso deve essere dato liberamente, oltre a essere specifico, informato e non ambiguo; incentrato su un opt-in positivo. In base al GDPR, non è possibile fare affidamento su caselle pre-selezionate o opt-out, né raggruppare in consenso con l’accettazione di altri termini e condizioni. È necessario spiegare in modo chiaro e specifico il motivo per cui si stanno raccogliendo determinati dati e per quali scopi verranno utilizzati, oltre a quali controller di terze parti saranno in grado di utilizzare tale consenso. È inoltre necessario chiarire che gli utenti possono ritirare il proprio consenso su tutta la linea con facilità.
Dovresti anche tenere separati i consensi – se chiedi agli utenti di accettare che tu faccia cose diverse con i loro dati, dovrai chiedere il loro consenso per ciascuna di queste cose. Sebbene non sia necessario aggiornare tutti i consensi già acquisiti prima del GDPR, se ci si basa sul consenso per elaborare i dati, si dovrà garantire che i consensi degli utenti pre-esistenti soddisfino questi standard GDPR superiori o siano pronti a riaccedervi.

Evidenzia tutti i processori di terze parti:
i tuoi clienti e utenti devono essere informati dell’uso di processori o controlli di dati di terze parti, ai quali devono dare il consenso accettando la tua politica sulla privacy. Le terze parti dovranno rispettare i diritti delle persone interessate esattamente come la tua organizzazione e il loro coinvolgimento nell’elaborazione dei dati deve essere rigorosamente documentato.

 

GDPR: Diritti dei clienti

Mantenere i diritti dei tuoi clienti

Rispettare i diritti nuovi ed esistenti:
è necessario esaminare le procedure per assicurarsi che coprano i diritti nuovi ed esistenti degli utenti, incluso il modo in cui si prevede di cancellare i dati personali o fornire dati su eventuale richiesta.

La soddisfazione delle richieste di accesso per soggetto (SAR):
le richieste delle persone di accedere ai dati da te conservati devono essere soddisfatte entro un mese anziché 40 giorni e i dati devono essere forniti in un formato strutturato e comunemente utilizzato e non è possibile addebitare un costo per questo servizio. Prendi in considerazione l’implementazione di un sistema che consenta agli utenti di accedere facilmente ai propri dati online, per ridurre la pressione sul personale che gestisce un numero elevato di SAR.

Diritto di rettifica, restrizione e cancellazione:
la nuova legislazione indica in che modo gli utenti hanno maggiore controllo sui propri dati personali. La chiave per rispettare questi diritti è capire come la tua organizzazione pianifica di gestire il flusso di richieste per modificare eventuali imprecisioni di dati, per soddisfare la richiesta di interromperne l’elaborazione e per cancellare qualsiasi dato personale in tuo possesso, o spostarlo verso un’altra organizzazione.

GDPR: consapevolezza e responsabilita interne

Consapevolezza e responsabilità interne

Implementare la formazione del personale:
molte violazioni dei dati sono involontarie e comportano un grado di errore umano da parte del personale con accesso ai sistemi interni. Addestrare tutto il personale a essere consapevoli di come il GDPR influisce sul loro lavoro quotidiano non solo massimizza le probabilità di piena conformità dell’organizzazione, ma riduce al minimo qualsiasi rischio di subire una perdita o un furto di dati.

 

Educare i responsabili decisionali:
la creazione di un quadro di responsabilità e governance, che coinvolga dirigenti e membri del personale senior nella vostra organizzazione, è la chiave per la conformità. Coinvolgere il personale dirigente non è importante solo nel bilancio per il processo di conformità, ma per identificare le aree che possono essere a rischio e garantire che ogni dipartimento abbia un piano di preparazione specifico da eseguire.

Nominare un responsabile della protezione dei dati (DPO):
la tua organizzazione deve designare un responsabile della protezione dei dati se esegui il monitoraggio regolare e sistematico delle persone su larga scala o un’elaborazione su larga scala di categorie speciali di dati, come ad esempio i registri sanitari. Il responsabile della protezione dei dati deve disporre delle giuste conoscenze, supporto e autorità per svolgere efficacemente le proprie mansioni.

Effettuare una valutazione dell’impatto sulla protezione dei dati (DPIA):
le DPIA sono obbligatorie per alcune organizzazioni nei casi in cui viene utilizzata una nuova tecnologia, un’operazione di profilazione può influire sui clienti o in caso di elaborazione di categorie speciali di dati su larga scala. I DPIA aiutano a stabilire quanto siano rischiose alcune attività di elaborazione dei dati. La vostra organizzazione dovrebbe considerare dove sono necessari i DPIA e come si esegue il processo.

Segnalazione di violazioni dei dati:
Qualsiasi violazione dei dati personali deve essere segnalata all’ICO entro 72 ore, inclusi i dati persi, eventuali conseguenze e le contromisure adottate. Qualsiasi perdita di dati personali non crittografati deve essere comunicata anche agli interessati. È fondamentale cooperare con le autorità nel modo più completo possibile per ridurre al minimo la possibilità di subire sanzioni e garantire che la propria reputazione non subisca danni ingiustificati.


Se hai dubbi o desideri una consulenza sulla conformità GDPR scrivici compilando il modulo che trovi in basso

Conformità GDPR: la tua azienda è pronta? ultima modifica: 2018-05-14T10:11:57+00:00 da admin

Offriamo servizi SEO professionali che consentono ai siti Web di aumentare drasticamente il punteggio di ricerca organica al fine di competere per le posizioni più elevate anche quando si tratta di parole chiave altamente competitive.

Altre dal blog

Guarda tutti gli articoli