Questo articolo non costituisce parere legale, né queste informazioni intendono creare o far nascere un qualsiasi rapporto avvocato-cliente. Se necessario, per un parere professionale è opportuno rivolgersi a un legale competente.
La scadenza del maggio 2018 per conformarsi al Regolamento Generale sulla Protezione dei Dati (General Data Protection Regulation, GDPR) si sta avvicinando, il che significa che se ancora non è stato fatto, è il momento di valutare la situazione della propria azienda per quanto riguarda la sua conformità.
Il GDPR esige dalle aziende all’interno dei Paesi dell’UE, o che raccolgono dati all’interno di essi, di conformarsi alle nuove normative, che interessano la protezione e la sicurezza dei dati. Questo si applica anche alle imprese globali con sede al di fuori dell’UE, se si rivolgono a un’audience dell’UE.
Abbiamo già scritto come ci stiamo preparando per il GDPR, ma la fase successiva consiste nell’aiutare i nostri clienti e partner a sapere come agire per essere essi stessi conformi nei confronti del GDPR.
Il GDPR costituisce un vantaggio per la propria azienda perché consolida le varie leggi di protezioni sulla privacy dei dati che esistono in tutti i 28 stati membri, Regno Unito compreso.
Se ancora non hai completato il processo di conformità alle normative o l’hai fatto solo in parte, vi è ancora tempo di programmare, rivedere le politiche o investire in nuove tecnologie. Ecco alcune best practice per iniziare il percorso verso la conformità:
Designare un Responsabile della protezione dei dati (RPD)
Il GDPR richiede la nomina di un Responsabile della protezione dei dati (Data Protection Officer, DPO) in ogni caso in cui:
- il trattamento venga eseguito da un’autorità pubblica o un ente pubblico, ad eccezione dei tribunali che agiscono nell’esercizio delle proprie funzioni giudiziarie;
- le principali attività di titolare o di responsabile del trattamento consistano in operazioni di trattamento che, per loro natura, loro ambito e/o loro scopo, richiedano un monitoraggio regolare e sistematico dei soggetti dei dati su larga scala; oppure
- le principali attività di titolare o di responsabile del trattamento consistano nel trattamento su larga scala di dati sensibili (dati che rivelano l’origine razziale o etnica, le opinioni politiche, le opinioni religiose o filosofiche, le condizioni di salute o l’orientamento sessuale, ecc.) o i dati personali relativi a condanne politiche o a reati.
Questo ruolo monitorerebbe e gestirebbe sia i dati sia le operazioni necessarie mediante le normative. Inoltre, il RPD dovrebbe provare che essi non presentano conflitti di interesse per quanto riguarda la protezione dei dati per la propria organizzazione.
Accertarsi che il proprio RPD sia pronto a collaborare
I dipendenti sono l’elemento migliore per poter comprendere quali potrebbero essere le attuali mancanze delle politiche sulla protezione dei dati della propria azienda. Accertarsi che il RPD, il team legale, il team IT e quello per la conformità abbiano una conoscenza chiara e completa delle pratiche di tutela dei dati dell’azienda. Essi devono lavorare insieme per contribuire a creare un processo per la conformità per cui la propria organizzazione raccolga i dati in modo collaborativo.
Fornire trasparenza e controllo
Il linguaggio delle informazioni e del consenso che si forniscono ai propri clienti deve essere il più chiaro e trasparente possibile. Il proprio sito Web deve rendere esplicitamente chiaro esattamente quello per cui i clienti hanno dato o non hanno dato esplicitamente il loro consenso, ed esattamente quali tipi di dati essi stanno fornendo. Questo è un fatto importante per la conformità al GDPR, e in proposito è possibile approfondire l’argomento qui.
Anteporre a tutto la governance dei dati
Per tutte le elaborazioni di dati che potrebbero mettere a rischio i diritti individuali è necessario implementare un processo di valutazione dell’impatto sulla privacy (Privacy Impact Assessment, PIA). Inoltre, la propria azienda deve essere in grado di spiegare le sue modalità di raccolta, utilizzo e anche modifica dei dati personali, e se ha processi in atto che consentono ai cittadini UE di fornire, rivedere e/o rifiutare con facilità i dati. Il GDPR afferma che è obbligatorio garantire che l’infrastruttura per i dati della propria società mantenga un registro di attività di elaborazione e fornisca visibilità alla conformità delle proprie pratiche.
Monitorare l’accesso ai dati di dipendenti e persone esterne
È necessario stabilire severe politiche di autorizzazione che limitino l’accesso ai dati e che garantiscano la privacy. Queste politiche devono essere aggiornate costantemente per rispecchiare le esigenze della propria azienda, controllando che vengano rispettate, specialmente per quanto riguarda il trasferimento dei dati. Nel Capitolo V del GDPR, anche le destinazioni dei trasferimenti al di fuori dell’UE devono rispettare le stesse condizioni di protezione e governance delle organizzazioni all’interno dell’UE.
I requisiti del GDPR sono severi ed essere preparati a queste normative non basta una semplice spunta delle caselle di un elenco. Ma il GDPR, secondo noi, può essere un elemento utile sia per le aziende sia per i consumatori, dal momento che fornisce uniformità e certezza relativamente a privacy e protezione dei dati.
L’utilizzo di questa lista di controllo e altre risorse per garantire che la propria organizzazione sia seriamente preparata per ciascuna norma del GDPR, dà la certezza che la propria azienda può continuare la sua attività come sempre ha fatto.