scopri prossimo < > < >

25 Luglio 2019 GDPR: fatti trovare pronto all’ispezione del garante!

È ormai più di un anno che il General Data Protection Regulation, il Regolamento UE 2016/679 conosciuto come il GDPR, è entrato in vigore in tutti gli Stati membri.
La tua azienda come ha reagito a questi primi mesi “di assestamento”?
Abbiamo elaborato per te dieci domande, con altrettante risposte, che potrebbero aiutarti nel caso di un possibile controllo: farti trovare pronto e sicuro della tua posizione può quantomeno contribuire a dimostrare una accountability di buon livello o ad abbassare il rischio di sanzioni.

 

  • Hai raccolto in modo libero il consenso?

Nel caso in cui questo sia richiesto, è importante verificare che sia esplicito e che non sia previsto in bundle con servizi non necessari. Bisogna quindi eliminare tutti i box pre- impostati o i contesti nei quali il consenso sia chiaramente “guidato”, limitando così la manifestazione di volontà del soggetto.

Occorre poi impostare un dialogo continuo con i responsabili dei sistemi informativi per dare vita ad un sistema sicuro di raccolta e verifica dei consensi. Infine, serve riflettere sugli archivi in tuo possesso e valutare se sia possibile realmente recuperare tutti i consensi correlati ai dati personali dei soggetti. Ciò diventa particolarmente complesso in liste di dati che si sono create e composte nel tempo.

 

  • Hai le informative in regola?

L’informativa, che deve essere sempre presente in modo chiaro e sintetico e deve possedere i contenuti previsti dalla legge, deve essere al centro di tutto il sistema: può essere controllata anche da lontano quindi è necessario sia a norma!

 

  • Il Data Protection Officer (DPO) è pronto a dialogare con il Garante e i corpi ispettivi?

È questo il primo soggetto chiamato ad essere pronto a dimostrare di sapere tutto quello che succede ed è successo in passato. Deve essere rintracciabile sempre, avere un buon carattere e saper giocare con molta attenzione il triplo ruolo che il GDPR gli ha assegnato -cioè quello di presidio avanzato del Garante, di consulente/certificatore del titolare e di punto di contatto con gli interessati-.

 

  • Il registro dei trattamenti è pronto?

Pronto vuol dire veritiero, chiaro, completo, idoneo a disegnare una mappa immediata dei flussi di dati e dei relativi responsabili e a tracciare le misure di sicurezza adottate.
Tendenzialmente è il primo documento che viene chiesto al titolare o al DPO, diventando così il primo oggetto di analisi. Una sorta di “biglietto da visita” e, proprio per questo, importantissimo!

 

  • In caso di Data Breach come ti comporti?

È essenziale dimostrare di avere una politica interna in questi casi idonea alla prevenzione dei danni e all’attivazione di una comunicazione fluida e specifica.

 

  • Hai formato i tuoi dipendenti e colleghi?

La formazione in questo senso serve a dimostrare l’attenzione concreta del titolare ai processi d’istruzione dei soggetti che trattano quotidianamente i dati. Non basta la formazione online: servono anche lezioni in aula, comprensibili da tutti, con verifiche dell’apprendimento.

 

  • Hai individuato i trattamenti che necessitano di una valutazione d’impatto?

Rientrano in questa categoria i casi palesi di profilazione, videosorveglianza su larga scala, geo-localizzazione e trattamento dei dati tanto delicati. Nel caso in cui invece i dati non vengano divulgati, è necessario domandare la collaborazione del responsabile esterno per avere in mano tutte le informazioni necessarie per redigere la valutazione stessa.

 

  • I rapporti tra responsabili esterni e i contitolari sono chiari?

Tralasciando le lotte intestine  in corso e cercando di mantenere la calma, è sempre essenziale verificare le misure di sicurezza dei responsabili e comprendere come gestire al meglio, non solo sul piano contrattuale.

 

  • “Coccoli” l’interessato?

È lui al centro di tutto il sistema del GDPR e dovrebbe essere il più possibile tutelato in ottica di protezione da ispezioni e sanzioni. Il DPO è previsto come “interfaccia” con i soggetti che vogliono esercitare i loro diritti, ma non dovrebbe essere mai lasciato solo.

 

  • Hai eseguito le verifiche citate all’articolo 32?

Attenzione allo stato dell’arte, attenzione ai costi, attenzione ai dati trattati e attenzione ad un’analisi del rischio preliminare.
La cifratura dei dati riveste oggi un ruolo essenziale e imprescindibile, per cui cruciale diventa l’operare una valutazione sulla possibilità di migrare tutti i dati su sistemi cifrati.

 

È sbagliato pensare che la risposta positiva a queste domande ti scarichi da ogni preoccupazione: è senza dubbio un buon punto di partenza per un provvedimento così complesso come il GDPR.

 

Proteggere i dati, tra le altre cose, significa anche apparire agli occhi degli altri credibili e professionali. La reputazione aziendale infatti va continuamente coltivata.

Ricorda, “Ci vogliono 20 anni per costruire una reputazione: bastano 5 minuti per rovinarla.” (Warren Buffet)