Da tempo stiamo parlando sui nostri canali di GDPR, di nuove normative a livello di security dei dati e di come il nuovo regolamento intervenga a fondo sulle policy di sicurezza e privacy delle organizzazioni. Il 25 maggio 2018 però si avvicina, e anche velocemente.

Sarce ha deciso di riportare i 12 passi da seguire, indicati dall’ICO – Information Commisioner’s Office, per preparare la vostra organizzazione al nuovo regolamento Europeo sulla privacy.

Ecco i primi sei:

CONSAPEVOLEZZA
Consapevolezza significa accertarsi che le persone in posizioni dirigenziali e in ruoli chiave dell’organizzazione siano consapevoli dell’aggiornamento contenuto nel GDPR: hanno il dovere di individuare le aree che potrebbero presentare problemi di adeguamento alla nuova normativa e di compiere tutte le azioni necessarie per risolvere le situazioni critiche.

TRACCIARE LE INFORMAZIONI IN NOSTRO POSSESSO
Il GDPR comporta l’obbligo di tracciare le attività di trattamento dati: occorre quindi documentare i dati personali di cui siamo in possesso, sarà quindi fondamentale seguire tutto il percorso delle informazioni e eventualmente organizzare audit dei dati a livello aziendale o in alcune specifiche aree di business. Il tracciamento darà modo di adeguarsi anche al principio di responsabilità che obbliga le organizzazioni a dimostrare, quando richiesto, come vengono rispettate all’interno dell’azienda le regole sulla protezione dei dati.

LE INFORMATIVE SULLA PRIVACY
In vista del GDPR ogni azienda dovrebbe rivedere le proprie informative e predisporre un piano per implementare da subito gli aggiornamenti richiesti dal General Data Protection Regulation: la nuova normativa comunitaria ci obbliga a fornire queste informazioni in un linguaggio chiaro, conciso e semplice da comprendere.

VERIFICA DEI DIRITTI INDIVIDUALI
Il regolamento Europeo indica degli obblighi individuali che devono essere rispettati da parte delle aziende. Il diritto a essere informati e all’accesso ai dati, il diritto alla correzione ma soprattutto alla cancellazione e all’obiezione circa le informazioni personali trattate dall’azienda. Importantissimo è anche il diritto alla limitazione del trattamento dei dati personali e di non essere oggetto di scelte automatizzate (come la profilazione). IL GDPR obbliga quindi a creare il momento giusto per rivedere tutte le procedure aziendali circa i diritti dei collaboratori sui propri dati personali.

L’ACCESSO AI DATI PERSONALI
Per adeguarsi al General Data Protection Officer sarà necessario aggiornare le procedure e pianificare come gestire le richieste di accesso ai dati nel rispetto della normativa. Se la vostra organizzazione gestisce abitualmente un numero elevato di richieste di accesso, sarà fondamentale essere pronti anche da un punto di vista logistico in modo da poter rispondere più rapidamente a tali richieste: sviluppando sistemi capaci di permettere alle persone di accedere alle proprie informazioni online in modo semplice, sicuro e autonomo.

IDENTIFICARE LA BASE NORMATIVA
Con il GDPR ogni organizzazione dovrà necessariamente identificare le basi su cui fondare la raccolta e il trattamento dei dati, documentandola e aggiornando continuamente la comunicazione in modo da esplicitarla. Con l’introduzione del nuovo Regolamento Europeo il passaggio sarà necessario perché alcuni dei diritti delle persone varieranno a seconda della base normativa di riferimento usata per trattare i loro dati: le persone godranno di diritti più efficaci nel caso in cui richiedano la cancellazione dei loro dati là dove questi siano raccolti e trattati sulla base normativa del consenso. La base normativa scelta e adottata per il trattamento dei dati personali andrà esplicitata nell’informativa sulla privacy.