Privacy Europea, linee guida per le PMI

Autorità e normativeNormativa
1 16 Non ci sono commenti

La checklist con 12 semplici passi per affrontare il Regolamento Europeo sulla protezione dei dati personali (GDPR), in previsione della sua entrata in vigore da metà 2018

L’ICO, Information Commissioner’s Office, ente pubblico inglese deputato a supportare aziende e cittadini sugli aspetti collegati alla Privacy, ha pubblicato una checklist con 12 semplici passi e relative istruzioni per affrontare il Regolamento Europeo sulla protezione dei dati personali (GDPR), in previsione della sua entrata in vigore da metà 2018.

Preparing for GDPR

Di seguito i 12 passi consigliati da ICO.

  • Consapevolezza. Assicurarsi che i vertici e i responsabili chiave dell’organizzazione siano consapevoli della trasformazione avvenuta a livello normativo, in modo da anticipare l’impatto della GDPR.
  • Dati personali in possesso. Documentare quali sono ad oggi i dati personali gestiti in azienda, da dove provengono e con chi sono condivisi. Considerare l’opportunità di un audit sui dati.
  • Comunicare l’Informativa sulla Privacy. Ogni azienda deve attrezzarsi per comunicare agli utenti quale è la propria policy sulla Privacy, tenendo presente che rispetto a quanto comunicato finora dovrà essere modificato per tener conto dei nuovi requisiti richiesti dalla GDPR una volta entrata in vigore.
  • Diritti degli Individui. Le procedure interne all’organizzazione devono essere riviste per assicurarsi di poter garantire tutti i diritti che gli individui avranno con la GDPR.
  • Richieste di accesso/modifiche ai dati. Le aziende devono preoccuparsi di rivedere le procedure per essere in grado di rispondere ad eventuali richieste di accesso/modifiche ai dati personali da parte degli utenti, per poterlo fare nei tempi previsti dalla GDPR, fornendo anche agli utenti tutte le informazioni.
  • Basi giuridiche relative all’elaborazione dei dati. Vanno riviste le attività di trattamento dei dati e deve essere identificata e documentata la base giuridica per ogni tipo di attività di elaborazione dei dati.
  • Consenso. Va rivisto come l’organizzazione cerca, ottiene e tiene traccia del consenso, valutando quali sono le modifiche da apportare.
  • Bambini. La GDPR richiederà lo sviluppo di nuovi sistemi per verificare l’età degli individui e per raccogliere, nel caso, il consenso dei genitori o di un tutore per l’attività di elaborazione dei dati di minori.
  • Data Breaches. Bisognerà verificare di avere in atto le misure adeguate per individuare, segnalare e investigare eventuali violazioni dei dati.
  • Data Protection by Design, Data Protection Impact Assessments (DPIA). Le aziende devono cominciare a familiarizzare con valutazioni d’impatto sulla Privacy, ad esempio con le linee guida prodotte dall’ICO sui Privacy Impact Assessments (PIA), decidendo come e quando metterle in atto.
  • Data Protection Officer. Designare un responsabile della protezione dei dati, se necessario, o qualcuno che si assume la responsabilità del rispetto delle norme sulla protezione dei dati.
  • Presenza Internazionale. Se l’organizzazione opera a livello internazionale, stabilire a quale autorità di vigilanza sulla protezione dei dati dovrà far riferimento.

A cura di Elena Vaciago, Associate Research Manager, The Innovation Group