Teamleader Blog Article

Lista di controllo per il GDPR: 10 passi che la tua impresa deve compiere

Lista di controllo per il GDPR: 10 passi che la tua impresa deve compiere

25 maggio 2018: il nuovo quadro europeo GDPR tra un paio di mesi entrerà in vigore. Cosa cambierà per voi in quanto PMI e come potete assicurarvi di essere pienamente conformi ai nuovi requisiti?

Questa rapida lista di controllo vi aiuterà.

Dichiarazione di limitazione di responsabilità: è fondamentale sottolineare che adottando queste azioni elencate, Teamleader non garantisce che unazienda operi nel rispetto della privacy al 100%. Teamleader offre solo suggerimenti e consigli sul GDPR. Di conseguenza, questo contenuto è fornito solo a scopo informativo e non deve essere utilizzato come consulenza legale o per determinare come il GDPR potrebbe applicarsi a voi e alla vostra organizzazione.

Come dovrebbero prepararsi le PMI al GDPR

1. Conosci i tuoi datiGDPR - Conosci i tuoi dati

Per essere conformi al nuovo quadro legale, dovrai prima di tutto capire quali tipi di dati personali (ad es. nomi, indirizzi) e sensibili (ad es. dati sanitari) sono attualmente in tuo possesso:.

  • Da dove vengono queste informazioni?
  • Come sono state acquisite?
  • Come intendi utilizzare questi dati?

Tieni audit interni sui tuoi flussi di dati per mappare quello che è a posto e cosa deve essere ancora adattato per il nuovo regolamento. Assicurati di fare una scansione legale di tutti i tuoi documenti legali e aggiornarli in maniera appropriata.

Se si condividono dati personali inesatti o obsoleti con un’altra organizzazione è necessario informare l'altra organizzazione dell'inesattezza - in modo che possa correggere i propri dati. Questo è uno dei motivi principali sul perché mappare i dati personali in tuo possesso.

Ebook GDPR

 

2. Chiedi il consenso esplicito per raccogliere i dati

Nel nuovo GDPR, il consenso alla raccolta dei dati deve essere concesso liberamente e deve essere specifico, informato e inequivocabile. Il consenso non può provenire dal silenzio, da caselle preselezionate o dell'inattività. Questo significa anche che dovrai controllare come stai chiedendo il permesso di raccogliere i dati. In altre parole: controlla i tuoi metodi esistenti per essere sicuro di essere conforme agli standard del nuovo GDPR.

Il GDPR offre agli individui diritti specifici per revocare il loro consenso. È necessario informare le persone su questo diritto e offrire modi semplici per revocare il consenso in qualsiasi momento.

Il consenso sarà anche un fattore importante per qualsiasi e-mail inviata. Per le e-mail commerciali (ad es. offerta promozionale, sconto) ai non clienti è necessario aggiungere specifici pulsanti di opzione per consentire alle persone di confermare la loro iscrizione. Se le persone non hanno dato il consenso esplicito, non ti sarà permesso di inviare e-mail commerciali. Le e-mail non commerciali (ad es. gli auguri per le festività) o le e-mail ai clienti richiederanno solo un opt-out (l'opzione di annullare l'iscrizione a tali e-mail).

3. Comunica come e perché stai raccogliendo dati

Ai tuoi clienti, dovrai comunicare:

  • Come stai raccogliendo i dati:
  • Perché stai trattando i loro dati:
  • Per quanto tempo intendi archiviare quei dati (non puoi archiviare i dati più a lungo dello stretto necessario).
  • Quali dati personali sono stati raccolti:
  • Come sono stati raccolti;
  • Lo scopo del loro trattamento;
  • Il periodo di trattenimento dei dati;
  • I diritti degli interessati:
  • ILa tua procedura di reclamo;
  • Il tuo processo di trasferimento dati a parti terze.

4. Fai formazione ai tuoi dipendenti

GDPR - Fai formazione ai tuoi dipendenti

Organizza sessioni formative interne per aiutare i colleghi a comprendere l’impatto del GDPR sulla vostra azienda. Il vostro programma di sensibilizzazione dovrebbe essere un processo continuo che viene regolarmente rafforzato durante tutto l'anno e che è documentato anche per i nuovi assunti che si uniscono in seguito.

Non dimenticare di aggiornare documenti e procedure per uso interno, come ad esempio:

  • Politiche per computer portatili, social media e internet
  • Contratto di assunzione
  • Regolamento sul lavoro

5. Mostra prove di conformità

Il quadro di riferimento del GDPR richiede che dimostriate di rispettare i regolamenti:

  • Identifica il fondamento legale della tua attività di trattamento
  • Documenta le tue procedure
  • Aggiorna la tua informativa sulla privacy

Dovresti anche modificare i Termini e le Condizioni e/o l’autorizzazione approvata con i tuoi clienti. Infine puoi stipulare un accordo per il trattamento dei dati (DPA) con i responsabili dei dati e se necessario stipularne un altro anche con i sub-responsabili.

Nota: un responsabile dati è qualsiasi persona (diversa da un dipendente titolare del trattamento dei dati) che elabora i dati per conto del titolare del trattamento. Ne sono un esempio le società per le buste paga, i contabili e le società di ricerche di mercato. I fornitori di cloud sono anch'essi generalmente responsabili di dati.

6. Disporre di un sistema per cancellare i dati personali

A partire da maggio dovrai essere dotato di un sistema per cancellare i dati personali una volta che il periodo legale per la conservazione dei dati è passato oppure quando gli interessati ritirano il consenso.  Le persone hanno il diritto di ritirare il loro consenso in qualsiasi momento: il diritto di cancellazione (o il “diritto alloblio”) è un principio chiave del GDPR.

Più specificamente, sarà necessario cancellare i dati se:

  • I dati personali non sono più necessari in relazione alle finalità per le quali sono stati originariamente raccolti
  • L’interessato ritira il consenso al trattamento (e non vi è alcuna giustificazione o interesse legittimo per continuare il trattamento)
  • I dati personali sono stati processati senza rispettare la legge

7. Crea una piano di gestione della crisi

Ogni azienda necessita di avere un piano per la violazione dei dati. Una volta che si verifica una violazione dei dati, avrai 72 ore per riferirlo all’autorità competente in materia di protezione dei dati nel tuo paese e, in alcuni casi, dovrai informare le persone coinvolte. Questo lasso di tempo potrebbe essere ancora più ristretto in alcuni paesi. Questo significa che non avrai il tempo di pensare ai passi da compiere una volta che si verifica effettivamente una violazione - quindi pensare in anticipo è fondamentale per evitare sanzioni legali.

In preparazione del nuovo quadro di riferimento dovresti mettere in atto procedure per individuare, segnalare e indagare su incidenti come questi. Assicurati che le persone con cui lavori comprendano quali sono le violazioni dei dati personali e assicurati che i processi siano attivi per individuare immediatamente gli indicatori rossi.

8. Gestire le procedure di accesso

GDPR - Gestire le procedure di accesso

I vostri server e i dati personali che conservate devono essere inaccessibili a chiunque non sia in possesso delle credenziali giuste. Inoltre gli interessati avranno il diritto di accedere a tutti i loro dati personali, rettificare le inesattezze, opporsi al trattamento in determinate circostanze o cancellare i loro dati - il tutto entro un termine di 30 giorni invece di 45 giorni.

Se si gestisce un gran numero di richieste di accesso, prendete in considerazione lo sviluppo di modi per affrontare tali richieste più rapidamente e le implicazioni che ciò potrebbe avere sul carico di lavoro. Si potrebbe verificare se è possibile sviluppare un sistema per consentire agli individui di accedere alle loro informazioni online. Questo è anche ciò che raccomandano gli organismi ufficiali del GDPR nella maggior parte dei paesi.

9. Protezione dei dati per i minori

Il 25 maggio 2018 verrà introdotta anche una protezione speciale per i dati personali dei minori. Il GDPR afferma che i minori di 16 anni non possono dare il loro consenso legale perché "possono essere meno consapevoli dei rischi, delle conseguenze e delle salvaguardie" della condivisione dei dati. Se la vostra azienda offre servizi online ai minori e si affida al consenso per raccogliere informazioni su di essi, avrete ora bisogno del consenso di un genitore o tutore per elaborare i loro dati personali legalmente.

Nota: I paesi dell’UE possono ridurre questo limite di età fino all’età di 13 anni. Il Belgio e la Francia, ad esempio, modificheranno il limite di età a 13 anni.

10. Verifica se ti serve un Responsabile della protezione dei Dati

Potrebbe essere necessario nominare un Responsabile interno della Protezione dei Dati per controllare la strategia e il programma di conformità. Sebbene ciò non sia obbligatorio per la maggior parte delle PMI il gruppo dell’articolo 29 raccomanda a tutte le imprese di nominare una persona in modo da attuare delle pratiche corrette.

Non è necessario assumere un dipendente a tempo pieno di per sé - un DPO potrebbe anche essere un consulente esterno o un collaboratore che assuma un ruolo in più oltre alle responsabilità quotidiane. Tuttavia assicurati che la persona disponga delle conoscenze, del supporto e dell'autorità necessarie per svolgere efficacemente il ruolo di DPO.

 

Ebook GDPR