Per adeguare la propria azienda al nuovo Regolamento Europeo sulla Privacy bisognerà seguire alcune linee guida previste dalla normativa, in modo da dimostrare la volontà di adeguarsi al GDPR.
Ecco alcuni punti fondamentali per essere “GDPR compliant”:
- informare in modo chiaro e semplice i propri clienti, dipendenti ed eventuali altri interessati, su come vengono trattati i loro dati, specificando, tra l’altro, le finalità e la base giuridica del trattamento, la durata di conservazione dei dati raccolti, i soggetti ai quali i dati personali vengono comunicati;
- qualora il trattamento sia basato sul consenso, prevedere delle procedure di acquisizione in modo tale da garantire che venga prestato mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano (anche attraverso la selezione di un’apposita casella in un sito web o la scelta di impostazioni tecniche per servizi della società dell’informazione); per quanto riguarda l’offerta diretta ai minori di servizi della società dell’informazione (es. social network), va sempre verificato il limite di età per chiedere il consenso (in Italia 14 anni);
- assicurarsi di rispondere correttamente e tempestivamente alle richieste degli interessati, poiché il GDPR attribuisce a tutte le persone fisiche un esteso fascio di diritti, tra i quali il diritto di accesso (sapere chi e perché tratta i dati personali), il diritto di rettifica e cancellazione, il diritto di opposizione (anche al marketing diretto e alla profilazione), e il “nuovo” diritto alla portabilità dei dati, ovvero di trasferire i propri dati in formato aperto ad un’altra azienda;
- saper gestire prontamente l’ipotesi di violazione dei dati (c.d. data breach), per esempio nel caso di accesso non autorizzato o divulgazione di dati a causa di un problema di sicurezza. Il GDPR, infatti, impone a ogni titolare del trattamento la notifica del data breach all’Autorità di controllo (Garante) entro 72 ore;
- nel caso si intenda affidare operazioni di trattamento a fornitori o altri soggetti esterni all’azienda, ci si dovrà assicurare di ricorrere solamente a soggetti responsabili del trattamento che presentino sufficienti garanzie di conformità al Regolamento e alla tutela dei diritti degli interessati;
- documentare le attività di trattamento e le misure adottare per ridurre i rischi derivanti: il GDPR, infatti, impone al titolare di dotarsi di strumenti oggettivi per dimostrare, in caso di controllo, di essersi conformato al Regolamento e di aver adottato misure adeguate per garantire la protezione dei dati personali trattati. Per questo motivo, è essenziale dotarsi di un Registro aggiornato (anche in formato elettronico) sulle attività di trattamento;
Il Registro delle attività di trattamento potrebbe non essere necessario in alcuni casi specifici, ma è sempre raccomandato dal Garante per la Protezione dei dati personali in quanto rappresenta uno strumento fondamentale non soltanto ai fini dell’eventuale controllo da parte dell’Autorità, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti effettuati. È uno strumento indispensabile per ogni valutazione e analisi del rischio.
