Iubenda partner

Abbiamo già affrontato il tema del GDPR, di cosa sia e di come funzioni, nell’articolo precedente. Ora andiamo oltre, cercando di comprendere in modo specifico quali documentazioni sono necessarie e come adeguarsi al GDPR senza incorrere in alcun rischio.

 

GDPR e rischi: possibili errori

Gran parte dei rischi legati al non corretto adeguamento di un sito al GDPR ha a che fare con sviste e leggerezze di non poco conto che possono causare beghe e problematiche all’ente responsabile. Analizziamo allora uno per uno tutti i documenti necessari per uniformarsi in modo corretto al GDPR.

 

Privacy Policy

La Privacy Policy è un documento legale che chiarisce con quali modalità sono raccolti i dati degli utenti. La privacy policy deve essere correttamente realizzata e aggiornata in base alle normative vigenti e deve essere consultabile anche dagli utenti. In particolare, il documento deve specificare le topologie di dati raccolti, la modalità e il luogo del trattamento dei dati, il periodo di conservazione, le finalità dei dati raccolti e i vari servizi utilizzati.

 

Raccolta del consenso utenti Web

Inoltre, dobbiamo preoccuparci di documentare come siano stati raccolti i dati dei nostri utenti web, in modo da registrare a norma di legge tutte le informazioni utili a documentare quanto richiesto.

 

 

Raccolta del consenso dipendenti, clienti e fornitori

Ricordiamo che, spesso, si fa confusione, pensando che il GDPR sia un regolamento valido solo in ambito web, ma non è così: il trattamento dei dati personali, in qualunque contesto, online e offline, può avvenire solo previo consenso dell’interessato, sia esso un dipendente, un fornitore aziendale, un cliente, un candidato.

 

 

Nomine dei responsabili del trattamento

Il titolare del trattamento è incaricato di nominare i responsabili del trattamento interni alla propria azienda e quelli esterni. Tutte le persone coinvolte nella gestione e raccolta dei dati devono essere nominate attraverso l’utilizzo di appositi documenti, i quali assumono dunque valore ufficiale. Ad esempio, chi gestisce il sito internet di un’azienda, ed entra dunque in contatto con i dati degli utenti, deve essere nominato responsabile esterno del trattamento; ne sono esclusi i titolari autonomi (ad esempio gli avvocati e i medici). Alcune grosse società, che entrano in contatto con una vasta mole di dati, ricorrono ad un’autonomina; in questo modo, il cliente viene sollevato dall’onere di procedere in modo autonomo alla nomina dell’azienda esterna a responsabile del trattamento (ciò è tipico di colossi del web come Google o di quasi tutte le società di trasporti). Prima di utilizzare un servizio occorre dunque verificare se il fornitore deve essere nominato responsabile o se ha già provveduto ad autonominarsi responsabile del trattamento.

 

 

Registro dei trattamenti

Il registro dei trattamenti è il documento principale dell’intero corpus inerente il GDPR e consiste in un file che riporta tutti i trattamenti svolti dall’azienda e le loro caratteristiche. Il registro deve essere sempre aggiornato e deve inoltre consentire all’utente – o a soggetti terzi autorizzati – di verificare l’esatta cronologia delle azioni eseguite con i dati in possesso. Anche in questo caso, l’omissione del documento può innescare conseguenze legali.

 

 

Policy sulla sicurezza informatica

La policy sulla sicurezza informatica è il documento che contiene le disposizioni e le misure organizzative poste in essere da tutti i collaboratori aziendali, interni ed esterni, al fine di contrastare i rischi per la sicurezza informatica. Sebbene non si tratti di un documento obbligatorio, la sua realizzazione è considerata una best practice da adottare al fine di garantire una maggiore tutela dei dati gli utenti.

 

 

Nomina di un DPO e di un DPIA

DPO è l’acronimo di Data Protection Officer, una figura che, come specificato dall’art.39 del GDPR, è responsabile della protezione dei dati, al quale spetta il compito di organizzare in modo sicuro ed efficiente il loro trattamento. Il DPIAData Protection Impact Assessment, ovvero valutazione d’impatto sulla protezione dei dati – è invece la procedura stilata per descrivere e valutare la qualità della gestione dei dati (Art. 35 del GDPR), responsabilità affidata al titolare del trattamento. La nomina del DPO e la stesura del DPIA sono obbligatori solo per alcune classi di titolari di dati.

 

CONTATTACI

Vuoi scoprire se la tua azienda è in regola con il GDPR o capire cosa fare per esserlo?