Analizzando la documentazione del GDPR, sono emerse queste novità che si devono analizzare per capire come muoversi in azienda. Tutto condensato in pochi punti, per da verificare in modo rapido e schematico cosa manca per essere conformi.
- Il ruolo del titolare dell’azienda: Il ruolo attivo e proattivo dell’azienda nella figura del titolare che dovrà adottare e dimostrare di aver adottato politiche adeguate e conformi al regolamento in merito alla protezione dei dati.
- Confini di applicazione del diritto UE: Si introduce il principio dell’applicazione del diritto della UE anche ai trattamenti svolti al di fuori della UE, se relativi a beni e/o servizi offerti nella UE o relativi al monitoraggio di cittadini all’interno della UE. (Avete un ufficio in USA e vendi prodotti a soggetti interessati che stanno in Italia, anche se l’ufficio è fuori UE, i dati dovranno essere trattati secondo il GDPR).
- Privacy by design e Privacy by default: il GDPR introduce i concetti di “privacy by design” e di “privacy by default”. Il primo sta a indicare che prima di raccogliere e trattare i dati devi mettere in pista un processo che, dall’inizio alla fine, pensi alla protezione dei dati e alla tutela del diritto alla riservatezza delle persone fisiche; il secondo sta a indicare un modus operandi che preveda la “chiusura” dei sistemi informatici di trattamento dei dati e solo dopo aver valutato i rischi si può provvedere a una graduale “apertura”. (vedi un nuovo assunto).
- DPO (Data Protection Officer): il GDPR prevede l’istituzione di una figura “indipendente” responsabile del “governo dei dati” e della “privacy”. Obbligatorio per un’autorità pubblica, per un ente o azienda il cui fine è il monitoraggio su larga scala e sistematico dei dati personali. (se si utilizza un software di terzi per gestire i dati di clienti, non è solo l’azienda a dover tutelare i dati, ma bisogna assicurasi che chi fornisce il software lo faccia).
- Data Protection Impact Assessment (DPIA), non obbligatorio per aziende sotto i 250 dipendenti, è il documento che descrive i flussi di dati all’interno delle aziende e i relativi rischi per i dati.
- La segnalazione dei “data breach”: ossia l’obbligo generalizzato di segnalare l’avvenuta violazione, fuga o compromissione di dati. Al garante della privacy e agli interessati. Quali dati sono potrebbero essere stati violati.
- Coscienza dei rischi: la necessità di predisporre un documento dove riportare i rischi (informatici e non) relativamente ai dati.
- Cifratura e/o pseudonomizzazione dei dati personali: ossia il principio per cui le informazioni di identificazione (eventualmente profilazione) non devono essere conservate in maniera tale che sia riconducibile a una ben precisa persona.
Pensate di dover sostenere spese enormi per la tutela della privacy e per proteggere i dati? Vi sbagliate, o meglio, non è proprio così. Possiamo aiutarvi a completare il percorso in modo sicuro e completo.