Fino ad oggi abbiamo parlato di diritti, doveri e delle questioni da affrontare per prepararsi al GDPR.
È arrivato il momento di dare un’occhiata al piano di adeguamento, croce e “non delizia” di tante aziende che dovranno mettere in atto e dimostrare il loro stato di compliance a partire dal 25 maggio.
Questo post infatti riguarderà di più le aziende, in veste di Titolari e/o Responsabili dei Trattamenti, che gli Interessati, vale a dire le persone fisiche.
Di seguito ti proponiamo una traccia di piano di adeguamento che, adattato alla propria situazione e al proprio contesto, consentirà di muovere i passi giusti nel percorso più che impervio tracciato dal GDPR.
Eccoti i passaggi che secondo noi sono fondamentali per adeguarti al Regolamento Europeo 2016/679.
INFORMATI
Se hai letto i nostri post precedenti sul tema GDPR questo concetto ormai ti sarà familiare, ma non è mai troppo tardi per ribadirlo!
Prima di tutto informati sul Regolamento e sui suoi contenuti – ci auguriamo che tu l’abbia già fatto, ormai manca davvero poco al 25 maggio!
Successivamente, è importante raccogliere tutte le informazioni relative alla tua azienda in materia di privacy e dati personali: il settore e i paesi in cui opera, se sono presenti dei Responsabili o Co-Titolari del trattamento, la documentazione in uso per la gestione ed il trattamento dei dati personali, etc.
Non dimenticarti di scendere nel dettaglio, perciò indaga anche su aspetti come il tipo di dati personali in tuo possesso, il trattamento che fai su di essi, dove li conservi, se esistono trattamenti da parte di terzi o particolarmente critici e, in tal caso, le procedure per la loro gestione.
Tutti gli aspetti legati alla salvaguardia infatti sono molto importanti, per questo ti consigliamo di fare un censimento sui tuoi sistemi e applicazioni di sicurezza, così potrai capire se saranno sufficienti oppure no.
L’importante è che tu abbia un quadro chiaro e completo della situazione, di dove ti trovi in questo momento e di dove intendi arrivare.
Per questa fase potrebbero farti comodo le domande che abbiamo redatto per prepararsi al GDPR.
ORGANIZZATI
Dopo esserti informato adeguatamente potrai iniziare ad organizzarti. Come?
a) Gestisci ruoli, responsabilità e procedimenti interni alla tua organizzazione
Per questo passaggio, consultare l’organigramma aziendale ti sarà molto d’aiuto; quando si parla di dati personali, infatti, è molto importante sapere chi ne ha accesso, chi li gestisce e chi è responsabile delle misure di sicurezza.
Ricordi il concetto di privacy by design e by default? È arrivato il momento di metterlo in pratica! Questa è proprio la fase di progettazione in cui dovresti pianificare in modo corretto tutti i passaggi che riguardano il trattamento dei dati personali, e farlo ovviamente in ottica GDPR.
Noterai che ci saranno procedure da rivoluzionare, mentre altre non avranno bisogno di alcun cambiamento.
b) Integra, controlla e aggiorna la documentazione esistente
In termini di documentazione, il GDPR comporta l’aggiornamento dei documenti esistenti, vedi ad esempio l’Informativa, e la creazione di nuovi, come il Registro dei Trattamenti.
Integrare la documentazione e organizzare internamente la tua azienda ti permette di garantire lo stato di compliance al GDPR con efficacia ed efficienza, non solo in fase di adeguamento, ma anche (e soprattutto) in fase di mantenimento.
In questo step di organizzazione non sottovalutare la comunicazione interna alla tua azienda: per una migliore coordinazione è bene che tutti sappiano come ti stai organizzando per il GDPR e soprattutto quali cambiamenti interni porterà il Regolamento.
VALUTA
Un altro step molto importante è quello della valutazione.
Che cosa bisogna prendere in esame? Tutti i rischi per i diritti e le libertà delle persone fisiche che derivano dal trattamento dei loro dati personali, con la definizione di relative contromisure.
La DPIA, della quale abbiamo già parlato in passato, rientra proprio in questa fase.
La previsione e la stima di tutte le componenti di rischio nell’attività di trattamento è ciò che distingue un piano di adeguamento corretto da uno eseguito in modo superficiale.
Questo passaggio è tutt’altro che superfluo, anzi, se i rischi identificati sono particolarmente elevati per le persone, è obbligatorio per un’azienda svolgere la DPIA.
E se non sei ancora convinto, c’è solo una parola che può richiamare la tua attenzione: sanzioni. Ne abbiamo parlato in questo post.
GESTISCI
A questo punto siamo arrivati al fulcro del GDPR, con la gestione non solo dei diritti dell’Interessato, ma anche della violazione dei dati – data breach, fasi strettamente connesse con i passaggi organizzativi che abbiamo citato precedentemente.
Per quanto riguarda la gestione dei diritti dell’Interessato, tre sono le macro-domande che devi porti e alle quali devi rispondere con passaggi concreti:
– Quali sono le tue politiche di conservazione dei dati personali?
– Come gestisci i diritti di accesso, rettifica, limitazione, cancellazione (oblio) e opposizione?
– In che modo e con quali sistemi assicuri la portabilità dei dati?
Una volta che il GDPR sarà operativo dovrai essere in grado di gestire tutte le richieste da parte dell’Interessato.
Invece, nella gestione della violazione dei dati personali dovrai verificare come vengono gestiti eventuali incidenti, integrare le procedure per affrontare la violazione nel momento in cui si verifica ed infine prevedere per quali casi di data breach sarà necessaria la comunicazione al Garante e all’Interessato.
Parallelamente a tutta la messa in atto del piano di adeguamento, ti consigliamo tre passaggi importanti che non dovresti sottovalutare:
– Consulta un DPO o un Consulente Privacy: trattandosi di un Regolamento abbastanza rivoluzionario sono importanti, se non fondamentali, il supporto e la consulenza di un legale o di una persona interna o esterna specializzata in materia, ad esempio il DPO, che sappia darti le giuste indicazioni e consigli su come procedere.
– Comunica con i tuoi clienti: La comunicazione esterna è tanto importante quanto quella interna. Comunica con i tuoi clienti, non solo quando è strettamente necessario, ad esempio quando devi consegnare loro l’Informativa, ma anche per aggiornarli sui passi già compiuti e su quelli in programma
– Resta aggiornato: Per alcuni sarà scontato, per altri no. Cerca di consultare periodicamente fonti affidabili per restare al corrente di eventuali cambiamenti o aggiornamenti che in qualche modo toccano il GDPR, leggi nazionali incluse. Sapevi ad esempio della recente proposta di abrogazione del Codice in materia di Protezione dei Dati Personali (d.lgs. 2003/196)?
E tu hai già messo in moto il tuo piano di adeguamento?
La prossima settimana vedremo come il CRM diventa uno dei tuoi alleati più forti e il fulcro del tuo piano di adeguamento, in altre parole guarderemo come le fasi trattate oggi possono essere portate a termine con l’aiuto del CRM.
QUALCHE RISORSA UTILE:
Testo del Regolamento completo
Disclaimer: Il contenuto di questo post vuole creare consapevolezza su determinati aspetti del GDPR. Non è offerto come consulenza legale su questioni specifiche e non deve essere considerato in quanto tale.