GDPR cosa devono fare le aziende

Analizzando la documentazione del GDPR, sono emerse queste novità che si devono analizzare per capire come muoversi in azienda. Tutto condensato in pochi punti, per da verificare in modo rapido e schematico cosa manca per essere conformi.

  • Il ruolo del titolare dell’azienda: Il ruolo attivo e proattivo dell’azienda nella figura del titolare che dovrà adottare e dimostrare di aver adottato politiche adeguate e conformi al regolamento in merito alla protezione dei dati.
  • Confini di applicazione del diritto UE: Si introduce il principio dell’applicazione del diritto della UE anche ai trattamenti svolti al di fuori della UE, se relativi a beni e/o servizi offerti nella UE o relativi al monitoraggio di cittadini all’interno della UE. (Avete un ufficio in USA e vendi prodotti a soggetti interessati che stanno in Italia, anche se l’ufficio è fuori UE, i dati dovranno essere trattati secondo il GDPR).
  • Privacy by design e Privacy by default: il GDPR introduce i concetti di “privacy by design” e di “privacy by default”. Il primo sta a indicare che prima di raccogliere e trattare i dati devi mettere in pista un processo che, dall’inizio alla fine, pensi alla protezione dei dati e alla tutela del diritto alla riservatezza delle persone fisiche; il secondo sta a indicare un modus operandi che preveda la “chiusura” dei sistemi informatici di trattamento dei dati e solo dopo aver valutato i rischi si può provvedere a una graduale “apertura”. (vedi un nuovo assunto).
  • DPO (Data Protection Officer): il GDPR prevede l’istituzione di una figura “indipendente” responsabile del “governo dei dati” e della “privacy”. Obbligatorio per un’autorità pubblica, per un ente o azienda il cui fine è il monitoraggio su larga scala e sistematico dei dati personali. (se si utilizza un software di terzi per gestire i dati di clienti, non è solo l’azienda a dover tutelare i dati, ma bisogna assicurasi che chi fornisce il software lo faccia).
  • Data Protection Impact Assessment (DPIA), non obbligatorio per aziende sotto i 250 dipendenti, è il documento che descrive i flussi di dati all’interno delle aziende e i relativi rischi per i dati.
  • La segnalazione dei “data breach”: ossia l’obbligo generalizzato di segnalare l’avvenuta violazione, fuga o compromissione di dati. Al garante della privacy e agli interessati. Quali dati sono potrebbero essere stati violati.
  • Coscienza dei rischi: la necessità di predisporre un documento dove riportare i rischi (informatici e non) relativamente ai dati.
  • Cifratura e/o pseudonomizzazione dei dati personali: ossia il principio per cui le informazioni di identificazione (eventualmente profilazione) non devono essere conservate in maniera tale che sia riconducibile a una ben precisa persona.

Pensate di dover sostenere spese enormi per la tutela della privacy e per proteggere i dati? Vi sbagliate, o meglio, non è proprio così. Possiamo aiutarvi  a completare il percorso in modo sicuro e completo.

Richiedi maggiorni informazioni

   Invia l'articolo in formato PDF