Abbiamo già affrontato il tema del GDPR, di cosa sia e di come funzioni, nell’articolo precedente. Ora andiamo oltre, cercando di comprendere in modo specifico quali documentazioni sono necessarie e come adeguarsi al GDPR senza incorrere in alcun rischio.
GDPR e rischi: possibili errori
Gran parte dei rischi legati al non corretto adeguamento di un sito al GDPR ha a che fare con sviste e leggerezze di non poco conto che possono causare beghe e problematiche all’ente responsabile. Analizziamo allora uno per uno tutti i documenti necessari per uniformarsi in modo corretto al GDPR.
Privacy Policy
La Privacy Policy è un documento legale che chiarisce con quali modalità sono raccolti i dati degli utenti. La privacy policy deve essere correttamente realizzata e aggiornata in base alle normative vigenti e deve essere consultabile anche dagli utenti. In particolare, il documento deve specificare le topologie di dati raccolti, la modalità e il luogo del trattamento dei dati, il periodo di conservazione, le finalità dei dati raccolti e i vari servizi utilizzati.
Raccolta del consenso utenti Web
Inoltre, dobbiamo preoccuparci di documentare come siano stati raccolti i dati dei nostri utenti web, in modo da registrare a norma di legge tutte le informazioni utili a documentare quanto richiesto.
Raccolta del consenso dipendenti, clienti e fornitori
Ricordiamo che, spesso, si fa confusione, pensando che il GDPR sia un regolamento valido solo in ambito web, ma non è così: il trattamento dei dati personali, in qualunque contesto, online e offline, può avvenire solo previo consenso dell’interessato, sia esso un dipendente, un fornitore aziendale, un cliente, un candidato.
Nomine dei responsabili del trattamento
Il titolare del trattamento è incaricato di nominare i responsabili del trattamento interni alla propria azienda e quelli esterni. Tutte le persone coinvolte nella gestione e raccolta dei dati devono essere nominate attraverso l’utilizzo di appositi documenti, i quali assumono dunque valore ufficiale. Ad esempio, chi gestisce il sito internet di un’azienda, ed entra dunque in contatto con i dati degli utenti, deve essere nominato responsabile esterno del trattamento; ne sono esclusi i titolari autonomi (ad esempio gli avvocati e i medici). Alcune grosse società, che entrano in contatto con una vasta mole di dati, ricorrono ad un’autonomina; in questo modo, il cliente viene sollevato dall’onere di procedere in modo autonomo alla nomina dell’azienda esterna a responsabile del trattamento (ciò è tipico di colossi del web come Google o di quasi tutte le società di trasporti). Prima di utilizzare un servizio occorre dunque verificare se il fornitore deve essere nominato responsabile o se ha già provveduto ad autonominarsi responsabile del trattamento.
Registro dei trattamenti
Il registro dei trattamenti è il documento principale dell’intero corpus inerente il GDPR e consiste in un file che riporta tutti i trattamenti svolti dall’azienda e le loro caratteristiche. Il registro deve essere sempre aggiornato e deve inoltre consentire all’utente – o a soggetti terzi autorizzati – di verificare l’esatta cronologia delle azioni eseguite con i dati in possesso. Anche in questo caso, l’omissione del documento può innescare conseguenze legali.
Policy sulla sicurezza informatica
La policy sulla sicurezza informatica è il documento che contiene le disposizioni e le misure organizzative poste in essere da tutti i collaboratori aziendali, interni ed esterni, al fine di contrastare i rischi per la sicurezza informatica. Sebbene non si tratti di un documento obbligatorio, la sua realizzazione è considerata una best practice da adottare al fine di garantire una maggiore tutela dei dati gli utenti.
Nomina di un DPO e di un DPIA
DPO è l’acronimo di Data Protection Officer, una figura che, come specificato dall’art.39 del GDPR, è responsabile della protezione dei dati, al quale spetta il compito di organizzare in modo sicuro ed efficiente il loro trattamento. Il DPIA – Data Protection Impact Assessment, ovvero valutazione d’impatto sulla protezione dei dati – è invece la procedura stilata per descrivere e valutare la qualità della gestione dei dati (Art. 35 del GDPR), responsabilità affidata al titolare del trattamento. La nomina del DPO e la stesura del DPIA sono obbligatori solo per alcune classi di titolari di dati.
CONTATTACI
Vuoi scoprire se la tua azienda è in regola con il GDPR o capire cosa fare per esserlo?