GDPR: cosa deve fare la tua azienda per essere in regola?

Nuova normativa per la gestione dei dati personali degli utenti, cosa deve fare la tua azienda per essere in regola? Abbiamo creato questo articolo per spiegarti al meglio tutti i passaggi da compiere per rispettare questa nuova normativa che entrerà in vigore a fine mese. Il GDPR, General Data Protection Regulation, fornisce alle persone che navigano in rete internet un metodo per controllare il modo in cui i loro dati vengono raccolti e utilizzati dalle Aziende. Sarà pienamente applicabile a tutti i proprietari di siti web che ricevono visitatori dell’UE a partire dal 25 maggio 2018. In questo articolo ti spiegherò perché è importante non farsi trovare impreparati. L’intento dell’UE è quello di rafforzare la tutela dei dati personali dei cittadini dell’Unione di fronte ai rischi, sempre più in crescita, di un mondo in forte evoluzione digitale (pensiamo ai social, all’Internet of Things, alla gestione dei Big Data, e via dicendo). Il nuovo regolamento impone alle organizzazioni pubbliche e private un cambiamento molto importante che prevede specifiche responsabilità per l’azienda ed azioni puntuali: la tutela dei dati degli utenti, in pratica, passerà attraverso un processo strutturato che impone ruoli, responsabili e responsabilità.

GDPR: Cosa fare e cosa dovrai cambiare

Le novità introdotte dal nuovo regolamento sulla Data Protection sono numerose, ma elenchiamo i tre punti fondamentali in materia di tutela della privacy degli utenti e di raccolta dei dati:

• Il Diritto all’Oblio. L’utente ha il diritto di far cancellare i propri dati personali. Si tratta in sostanza della possibilità da parte dell’utente di ritirare il consenso al trattamento dei suoi dati. Cosa cambia per te? Che in questo caso dovrai cancellare completamente i dati che hai archiviato di quella persona. Dovrai anche permettergli di farlo in maniera semplice e veloce.
• Il Diritto alla Portabilità dei dati. Questo punto del GDPR garantisce all’utente la possibilità di scaricare i propri dati e di trasferirli altrove. In altre parole l’interessato avrà il diritto di ricevere i dati precedentemente forniti ad un titolare del trattamento e di ottenere che questi vengano trasmessi ad un altro titolare.
• Il Diritto di Accesso. A partire dal 25 maggio 2018 dovrai essere del tutto trasparente sul perché e il come utilizzerai i dati personali degli utenti che stai raccogliendo. Con l’introduzione dei registri delle attività di trattamento dovrai specificare le finalità per cui stai procedendo con il trattamento dei dati, le categorie di dati personali e di soggetti interessati e le misure di sicurezza tecniche ed organizzative che hai adottato.

Sarà anche necessario dotarsi di una procedura per informare gli utenti di eventuali violazioni dei dati.

Le sanzioni per chi non si adegua

Per chi non si conformerà alle normative sono previste delle sanzioni molto alte. Come spiega Federprivacy, “dal 25 maggio 2018, potranno arrivare multe fino a 20 milioni di euro o al 4% del fatturato annuo globale le multe per le violazioni del regolamento Ue 2016/679, e a destare maggiore preoccupazione è il fatto che da una ricerca condotta dalla Compuware Corporation su un campione di 400 chief information officer è emerso che solo il 28% delle grandi aziende italiane che sono state intervistate ha un piano completo per garantire la conformità con il Gdpr”. Il controllo sul rispetto delle normative previste dal GDPR, inoltre, sarà molto rigoroso: ogni stato dell’unione Europea avrà un’autorità competente che gestirà la conformità GDPR attraverso gli audit web e avrà la possibilità di inviare sanzioni autonomamente. Il testo del GDPR rovescia la prospettiva della privacy: il regolamento, infatti, si basa sui doveri e sulla responsabilizzazione (accountability) del titolare del trattamento dei dati personali (ovvero l’azienda), mentre la normativa precedente si basava sui diritti dell’interessato.

Troppe informazioni? Ecco una sintesi

Riassumendo, il nuovo regolamento GDPR dice che se un sito raccoglie, memorizza o usa qualsiasi dato di un cittadino EU dovrai rispettare i seguenti punti:

• Informa gli utenti: chi sei, come raccogli i dati, per quanto tempo e dove finiscono i dati.
• Ottieni consenso: ricevi il consenso degli utenti al trattamento dei dati in maniera chiara e specifica con un’azione che simboleggi la volontà nel rilasciare i propri dati.
• Permetti l’accesso ai dati: gli utenti devono poter accedere ai propri dati personali, controllarli e se vogliono cancellarli (diritto all’oblio).
• Violazione dei dati: informa il garante e gli utenti se avvengono violazioni ai loro dati (data breach).

Come vedi non si può pensare di ignorare questa nuova normativa. GDPR, cosa fare quindi?

Procedura aziendale

Fase 1 – Raccogli tutte le informazioni sulla tua azienda, analizza e valuta la documentazione che utilizzi attualmente; Fase 2 – Se la tua azienda raccoglie dati personali in modo occasionale, include il trattamento di dati sensibili o di categorie speciali di dati oppure trattamenti che possono risultare in un rischio elevato per i diritti e le libertà degli interessati va redatto il registro dei trattamenti. Questo documento tiene traccia dei trattamenti effettuati da parte del titolare e degli eventuali responsabili. Deve contenere le finalità del trattamento, una descrizione delle categorie di interessati e dei dati personali, i destinatari, gli eventuali trasferimenti verso Paesi terzi e una descrizione generale delle misure di sicurezza; Fase 3 – Stesura/Modifica della documentazione in modo che risulti completa ed aggiornata secondo la nuova normativa; Fase 4 – Individuazione, se necessario, dei ruoli e delle responsabilità dei soggetti che effettuano il trattamento; Fase 5 – Definizione delle politiche di sicurezza e valutazione dei rischi: valuta e attua tutte le misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al RGPD. Questa fase dimostra il principio di responsabilizzazione del titolare (accountability) come richiesto dalla normativa; Fase 6 – Processo di Data Breach: per capire se le procedure adottate siano idonee, bisogna redigere una valutazione di rischio per eventuali violazioni dei dati; Fase 7 – Valutazione d’impatto sulla protezione dei dati personali: al fine di assicurare trasparenza nelle operazioni di trattamento dei dati personali e adeguata protezione agli stessi, il titolare deve effettuare precise e adeguate valutazioni d’impatto privacy. Fase 8 – Implementazione dei processi per l’esercizio dei diritti dell’interessato; Fase 9 – Individuazione e nomina di un Data Protection Officer (DPO): figura la cui responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

GDPR: cosa fare e come possiamo aiutarti?

Tutte le fasi elencate qui sopra non sono obbligatorie per tutte le aziende, ma variano in base a quali e quanti dati personali utilizza il tuo business. L’agenzia SmartUp può mettere in condizione la tua azienda di essere in regola con il GDPR andando ad analizzare e preparare la documentazione, le procedure o i controlli necessari per permetterti di essere in regola con la normativa. Inviaci un messaggio al nostro indirizzo mail per richiedere maggiori informazioni.