Il 25 Maggio 2018 si concretizza il cambiamento più significativo degli ultimi 20 anni nella storia della protezione dei dati: entra in vigore il “General Data Protection Regulation” (GDPR).
Il Regolamento Generale sulla Protezione dei dati è un regolamento con il quale la Commissione europea intende rafforzare e unificare la protezione dei dati personali entro i confini dell’Unione europea.
Tutte le imprese e gli studi professionali sono costretti a fare i conti con la nuova disciplina, perché ogni giorno trattano una mole considerevole di dati personali, riferiti ai dipendenti, ai collaboratori, ai clienti e ai fornitori. La protezione dei dati personali da parte del titolare e del responsabile del trattamento deve diventare uno dei requisiti imprescindibili nella realizzazione e nella fornitura di nuovi prodotti e di nuovi servizi.
Siete pronti per il GDPR? Scopritelo rispondendo a queste semplici domande
Dati personali e trattamento effettuati
- È disponibile una descrizione di tutte le categorie di dati personali che vengono trattati?
- I dati sensibili sono individuati separatamente rispetto agli altri dati? Così anche i dati relativi a condanne penali e reati?
Finalità e basi giuridiche del trattamento
- Sono state individuate ed esplicitate le finalità della racolta e del trattamento dei dati personali?
- Il trattamento si fonda su un’idonea base giuridica?
- Qualora un trattamento sia effettuato per conto del titolare, questo è disciplinato da un contratto o da altro atto giuridico? Il contratto disciplina la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento?
Consenso e informativa
- Se il trattamento si fonda sul consenso è possibile dimostrate che l’interessato ha prestato il proprio consenso al trattamento dei dati personali?
- Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consneso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro?
- L’informativa utilizzata è concisa, trasparente, intelligibile e facilmente accessibile? Utilizza un linguaggio semplice e chiaro, in particolare se destinata al minore?
- L’informativa fornita agli interessati contiene tutti gli elementi previsti dal Regolamento?
Periodo di conservazione dei dati
- Per ciascun trattamento, il periodo di conservazione dei dati è determinato o determinabile?
- Sono disponibili procedure per eseguire la cancellazione sicura dei dati al termine del periodo di conservazione, ovunque essi si trovino?
Diritti degli interessati
- Sono disponibili procedure che illustrano dettagliatamente le modalità con le quali un interessato può esercitare il diritto di accesso ai dati personali?
- Sono disponibili procedure che illustrano dettagliatamente le modalità con le quali un interessato può esercitare il diritto di rettifica e di cancellazione dei dati personali?
- Sono disponibili procedure che illustrano le modalità con le quali l’interessato ha il diritto a ottenere la limitazione di trattamento dei dati personali?
- Sono disponibili procedure che descrivono le modalità con le quali l’interessato può esercitare il diritto alla portabilità dei dati?
- Esiste una procedura che consente ad un interessato di negare l’utilizzo dei suoi dati per finalità di marketing diretto?
- Esiste una procedura che consente all’interessato di esercitare il diritto di non essere sottoposto a processi decisionali automatizzati, compresa la profilazione?
Formazione del personale
- Il personale ha ricevuto dettagliate istruzioni per il trattamento dei dati personali nel rispetto delle disposizioni regolamentari?
- Sono previste periodiche sessioni di aggiornamento per tutto il personale incaricato al trattamento dei dati?
Sicurezza dei trattamenti
- Sono state valutate le misure di sicurezza tecniche e organizzative suggerite dal Regolamento?
- Le misure adottate garantiscono un livello di sicurezza adeguato al rischio?
Registro dei trattamenti
- L’impresa o l’organizzazione ha un numero i dipendenti pari o superiore a 250?
- Il trattamento effettuato può presentare un rischio per i diritti e le libertà delle persone, non è occasionale o include dati particolari e dati personali giudiziari?
- In caso di risposta affermativa ad almeno uno dei due quesiti precedenti, è stato istituito il registro dei trattamenti?
Valutazione di impatto sulla protezione dei dati
- Il trattamento dei dati prevede l’uso di nuove tecnologie o può presentare un rischio elevato per i diritti e le libertà delle persone fisiche?
- In caso di risposta affermativa, è stata eseguita, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali?
Gestione del data breach
- È stato definito un protocollo per l’individuazione e la gestione di eventuali violazioni dei dati?
- In caso di violazione dei dati, sono definite le modalità di comunicazione del data breach all’autorità garante e agli interessati, se necessario?
Hai risposto negativamente alla maggior parte di queste domande? Allora hai proprio bisogno della nostra consulenza!
Contattaci subito per diventare compliant alla nuova normativa GDPR 2018.