Con l'entrata in vigore del GDPR, il 25 maggio 2018, che sostituisce la Direttiva sulla protezione dei dati 95/46/CE, le aziende dovranno essere pronte ad affrontare un nuovo approccio verso la privacy dei dati, che consentirà ai cittadini dell'UE di avere un maggiore controllo sui propri dati personali e sul loro trattamento.
Mentre nella maggior parte dei casi, i requisiti GDPR comporteranno molto lavoro per il dipartimento legale e i team di sicurezza informatica e IT, la maggior parte della responsabilità per una conformità costante sarà di altre divisioni e di altre persone al loro interno.
È importante che tutto il personale responsabile della gestione dei dati personali sia consapevole delle modifiche e abbia chiara l'implementazione dei nuovi obblighi ai sensi dei requisiti GDPR. Mentre un team principale potrebbe essere responsabile dell'implementazione dei vari componenti dei requisiti GDPR, le modifiche dovranno essere comunicate efficacemente all'intera organizzazione per essere certi che, in ultima analisi, il responsabile per la gestione delle informazioni personali sia adeguatamente informato e consapevole delle proprie responsabilità. La normativa GDPR richiede diverse funzioni aziendali per ri-pensare al modo in cui vengono gestiti i dati personali, sia che si tratti di clienti che hanno chiesto di ricevere posta diretta, che di CV di dipendenti passati, presenti e futuri
Indichi se la persona responsabile dei seguenti dipartimenti conosce i requisiti GDPR e comprende le proprie responsabilità per quanto riguarda le modifiche ai sistemi di archiviazione ed elaborazione delle informazioni personali.
Risorse umane, vendite, legale, finanza, IT e marketing sono solo alcuni dei dipartimenti il cui lavoro verrà maggiormente interessato dai requisiti GDPR, poiché più degli altri hanno a che fare con i dati personali.
Ai sensi dei requisiti GDPR, i soggetti possessori di dati, inclusi i clienti e i potenziali clienti le cui aziende potrebbero essere oggetto di acquisizione di dati, saranno più tutelati nel caso vogliano ottenere informazioni su come, dove e per quale scopo i loro dati sono stati elaborati. Molti dipartimenti di marketing hanno già implementato processi per rispondere a come vengono utilizzati i dati, ma il GDPR richiederà loro (e all'intera azienda) di formalizzarli. Il GDPR fornisce ai singoli i seguenti diritti: - Il diritto a essere informato - Il diritto all'accesso - Il diritto di rettifica - Il diritto di cancellazione - Il diritto di limitare l'elaborazione - Il diritto alla portabilità dei dati - Il diritto a porre obiezioni - Diritti in relazione alla profilatura e al processo decisionale automatizzato
Il GDPR contiene nuove disposizioni che mirano a migliorare la protezione dei dati personali dei bambini. E nel caso in cui le informazioni personali dei bambini vengano utilizzate nel marketing o da organizzazioni quali i siti di social network, la protezione offerta dalla nuova legislazione è particolarmente importante: le aziende devono ottenere il consenso del genitore/tutore per proteggere i bambini al di sotto di una data età. Quando i servizi sono offerti direttamente a un bambino, i team di marketing devono garantire che le note sulla privacy siano scritte in maniera chiara, in modo che anche un bambino possa comprenderle. Inoltre, le aziende devono mettere in atto dei provvedimenti che permettano di ottenere il consenso dei genitori o dei tutori del bambino e di verificarne l'età.
Il volume dei dati è cresciuto in maniera esponenziale, con più dati creati negli ultimi anni che nell'intera storia dell'umanità. Si prevede un ulteriore aumento negli anni a venire. Molti dei dati non sono più archiviati in un database strutturato. Si tratta invece di informazioni elettroniche non strutturate, come e-mail, messaggi o foto.
L'applicazione delle norme sulla protezione dei dati, come il GDPR, a simili dati non strutturati è problematica. Inoltre, per soddisfare la conformità con il GDPR, le aziende hanno l'obbligo generale di implementare misure tecniche e organizzative al fine di dimostrare gli elementi presi in considerazione e che la protezione dei dati sia stata implementata nelle attività di elaborazione dei dati. È inclusa la dimostrazione della provenienza dei dati in possesso dall'organizzazione.
Ai sensi dei requisiti GDPR, le aziende devono documentare i dati personali di cui sono in possesso, da dove provengono o dove sono stati condivisi. Se l'organizzazione non è in grado di uniformarsi entro maggio 2018, è necessario organizzare una revisione delle informazioni.
Quale delle seguenti procedure sui dati vengono seguite all'interno della sua organizzazione?
Per la conformità con il GDPR, la pulizia dei dati è fondamentale. Le aziende devono implementare diverse misure per soddisfare i principi di protezione dei dati a partire dalla progettazione. Queste includono minimizzazione dei dati, pseudonimizzazione, trasparenza e creazione e miglioramento continui delle funzioni di sicurezza. La gravità delle sanzioni associate a una scarsa gestione dei dati ai sensi dei requisiti GDPR, che indica che per le aziende non è più "sufficiente" disporre di policy per la sicurezza dei dati, deve essere prontamente comunicata e applicata.
Ai sensi dei requisiti GDPR, una violazione dei dati deve essere segnalata all'autorità competente entro 72 ore dal momento in cui l'organizzazione ne è venuta a conoscenza. La mancata notifica di una violazione può comportare un'importante sanzione per l'azienda: fino a 10 milioni di euro o il 2% del fatturato complessivo.
È compito del DPO (Data Protection Officer) aziendale segnalare eventuali violazioni dei dati alle autorità, tuttavia tutti i dipartimenti devono prevedere un processo che permetta un'allerta immediata. Sebbene in molti casi un'azienda abbia 72 ore di tempo per segnalare una violazione dal momento in cui ne viene a conoscenza, se la natura e la gravità della violazione richiede una notifica al pubblico, l'organizzazione deve agire senza ritardi ingiustificati.
I membri del consiglio e i top executive devono conoscere bene i requisiti GDPR, incluso il concetto di Privacy by Design, fondamentale per il GDPR. Per Privacy by Design si intendono policy, procedure e sistemi conformi implementati al momento della progettazione di ogni prodotto o durante lo sviluppo del processo.
Tutte le aree di un'azienda che toccano i dati personali, in qualsiasi fase del proprio ciclo di vita, devono disporre di meccanismi integrati per garantire che i dati siano protetti, sia stato dato il consenso al loro utilizzo e vengano usati solo per lo scopo previsto.
Le aziende devono eseguire una valutazione DPIA (Data Protection Impact Assessment, valutazione dell'impatto sulla protezione dei dati) quando utilizzano nuove tecnologie e quando l'elaborazione potrebbe comportare un "elevato rischio" per i diritti e le libertà degli individui. Un esempio di attività ad "alto rischio" include l'elaborazione di informazioni con categorie speciali di dati, come ad esempio dati su persone con condanne penali, problemi di salute mentale o disabilità.
Informativa Privacy: i Vostri dati personali saranno trattati in formato cartaceo ed elettronico solo per le finalità relative ad un nostro successivo contatto, ed emissione offerta, per servizi di consulenza sul nuovo Regolamento Europeo Privacy 2016/679 (GDPR). I Vostri dati non saranno oggetto di alcuna comunicazione o diffusione. In qualsiasi momento potrete esercitare i diritti di cui al Regolamento Europeo Privacy 2016/679.
privacy policy completa