Verifica Compliance Privacy in 10 rapidi passi

Verifica Compliance Privacy in 10 rapidi passi

La guida per capire se la Vostra azienda è in regola col GDPR 

Questo mese vogliamo fornirVi un piccolo tool per verificare rapidamente se, a quasi due anni dalla sua entrata in vigore, le Vostre aziende siano compliant o meno ai dettami del GDPR (“General Data Protection Regulation”). 

In particolare, indichiamo di seguito “10” punti che ciascuna impresa, sia che abbia già effettuato l’adeguamento, che non, può comodamente verificare. Vediamoli nel dettaglio:

  1. IL REGISTRO DEI TRATTAMENTI. Si tratta del documento fondamentale che mappa, in maniera chiara e schematica, i trattamenti dei dati effettuati all’interno dell’impresa. Nonostante la sua redazione non sia obbligatoria nella totalità dei casi (ma nella stragrande maggioranza sì), è estremamente consigliato redigerlo: è difatti un utile strumento di supporto e monitoraggio e, certamente, il primo documento che Vi verrà richiesto in caso di ispezione.
  2. INFORMATIVE. Fondamentale è avere a disposizione tutte le informative necessarie da fornire ai soggetti interessati, nonché una buona prassi di comunicazione e conservazione delle stesse, in modo tale da provare il fatto che le stesse sono state visionate. Il registro dei trattamenti serve anche a questo: non farsi sfuggire nessun tipo di trattamento, che certamente sfocia in una specifica informativa da fornire. RicordateVi di redigerle in modo chiaro, aggiornato e soprattutto di esporle al pubblico con metodi immediati e di facile percezione (es. cartelli nei locali, sito internet).
  3. CONSENSI. Altro aspetto fondamentale nel sistema privacy è la corretta gestione dei consensi che raccogliete presso gli interessati. Sarà necessaria una raccolta, da parte dell’impresa, effettuata in modo che del consenso prestato sia lasciata traccia inequivocabile e sarà necessario altresì apprestare un sistema di gestione dei consensi tale per cui, non appena questi vengano revocati, il relativo trattamento venga immediatamente interrotto. Naturalmente, la raccolta del consenso dovrà esser svolta in linea con le regole previste dal GDPR.
  4. ISTRUZIONE & FORMAZIONE. Punto essenziale: il personale preposto in azienda deve essere debitamente nominato, con atto scritto, e istruito dal titolare del trattamento con regole chiare e precise relative al trattamento dei dati. Sarà assolutamente necessario prevedere anche un piano di formazione degli autorizzati. Questi sono i soggetti che materialmente trattano i dati: una loro scarsa istruzione e formazione è un fattore di rischio estremamente critico.
  5. I TRATTAMENTI ESTERNI. Occorre prestare molta attenzione anche ai trattamenti che vengono esternalizzati dall’impresa. È questo il caso dei responsabili del trattamento e dei co-titolari. È importante che il professionista che effettua l’adeguamento abbia individuato chiaramente tutti i ruoli che tali soggetti svolgono nel trattamento e soprattutto che gli accordi con questi siano formalizzati per iscritto con accordi molto chiari; ovviamente è fondamentale anche selezionare operatori seri, che siano attenti al rispetto della normativa e quindi privacy compliant.
  6. GESTIONE DELLE VIOLAZIONI. Purtroppo pensare che una violazione dei dati (cd. “data breach”) non avverrà mai è pura utopia: vediamo come ogni giorno realtà più o meno solide e/o strutturate ne subiscono. Inoltre, occorre fare attenzione sulla nozione di data breach. Essa è difatti molto più estesa di quanto si possa pensare: non ne fanno parte i soli furti da parte di hacker, ma molte altre fattispecie, come ad esempio la distruzione accidentale di dati. Per questo motivo, occorre formare bene il personale e esercitarsi a riconoscerle, in seguito predisporre una procedura formale per la loro gestione e, in ultimo, predisporre un registro in cui annotare tutti i data breach.
  7. LE MISURE DI SICUREZZA. Ora veniamo alla concretizzazione del GDPR. Esso, difatti, oltre che prevedere un adeguamento documentale, prevede anche che vengano approntate dall’impresa delle misure a difesa dei dati, senza le quali, il resto resterebbe lettera morta o quasi. Il GDPR ribalta la situazione: si passa da un elenco di misure previste dal Codice Privacy ad una valutazione a carico del titolare del trattamento il quale deve valutare costi, stato dell’arte, tipologia di dati trattati e rischi. Chiaramente, il titolare, nella scelta di quali misure di sicurezza preventiva applicare (ad es. cifratura, firewall, pseudonomizzazione), si deve affidare ad un professionista del settore della Cybersecurity, essendo una materia estremamente specialistica.
  8. DIRITTI DEGLI INTERESSATI. La normativa privacy è chiaramente volta a proteggere i diritti degli interessati, coloro i quali dati sono trattati, e prevede, in loro tutela, una serie di diritti specifici che possono essere da questi azionati. Pertanto, sarà importante per l’impresa predisporre dei sistemi per cui l’interessato sia in grado di interfacciarsi con essa, in modo semplice e diretto. Tale impostazione è ancor più importante con riguardo al fatto che molte ispezioni prendono le mosse da segnalazioni da parte di interessati ai quali non è stata data risposta nei termini previsti, quindi possiamo dire che una corretta gestione delle loro istanze è già di per sé stessa una misura di prevenzione avverso eventuali sanzioni.
  9. IL DPO. Alle 8 regole precedenti, aggiungiamo ulteriori due, la cui applicazione non è così diffusa e scontata, in particolare con riguardo alle piccole/medie imprese. Il DPO è una figura che non sempre è prevista come obbligatoria, ma in questi casi, sarà necessario provvedere ad una oculata nomina, selezionando un soggetto preparato e soprattutto disponibile: è fondamentale che quest’ultimo abbia il tempo necessario e le risorse opportune per poter svolgere il proprio ruolo al meglio.
  10. VALUTAZIONE D’IMPATTO. Anche la valutazione d’impatto, cd. “DPIA”, è azione che non sempre si rivela come obbligatoria, esse è difatti prevista solo nei casi in cui vengano svolti dei trattamenti che per loro natura possano avere un rischio elevato. Occorrerà anche qui, in sede di adeguamento, che il professionista designato compia le opportune valutazioni in merito ai trattamenti svolti dall’azienda, ragionando sull’opportunità o meno di procedere a DPIA.