6 passaggi chiave per garantire la conformità al GDPR – I passaggi che devi intraprendere immediatamente

6 passaggi chiave per garantire la conformità al GDPR – I passaggi che devi intraprendere immediatamente

6 passaggi chiave per garantire la conformità al GDPR – I passaggi che devi intraprendere immediatamente
СОДЕРЖАНИЕ
02 июня 2020

Conformità al GDPR


Non tutti possono essere specialisti della conformità al GDPR, ma ciò non significa che dovresti ignorare la protezione dei dati e la privacy; soprattutto se gestisci un’attività. Anche se si è parlato molto della conformità al GDPR, essere pronti al GDPR non è un progetto una tantum. È un approccio continuo al business.

Fidarsi delle persone con cui condividiamo i nostri dati (guardandoti su Facebook!) È una parte importante di come facciamo affari online. Quando un’azienda ha bisogno di dati personali per eseguire il proprio servizio, l’utente dovrebbe essere consapevole del perché e di come vengono utilizzati in modo da poter decidere sul servizio.

Questo è il motivo per cui il GDPR attribuisce maggiore responsabilità alle organizzazioni e aumenta i diritti delle persone.

Alcuni consulenti con cui abbiamo parlato affermano che non esiste una conformità al 100% al GDPR. Si tratta più di dare un’occhiata a dati e processi da un "etico" punto di vista e non tanto "utensili" o "liste di controllo".

Quindi, non cercare un modello, ogni organizzazione ha il suo modo di fare le cose. Prova a sviluppare un’efficace protezione dei dati e una strategia di privacy basata sul tuo scenario. Questa guida è solo un punto di partenza, con un approccio generale e di alto livello. Idealmente, dovrai scavare in ogni area della tua attività e vedere come raccogli, elabori, divulga, memorizzi ed elimini i dati.

�� Questa guida è puramente indicativa e non costituisce consulenza legale o analisi legale. Le organizzazioni potrebbero aver bisogno di chiedere una consulenza legale indipendente per problemi legali specifici o domande.

1. Conoscere i concetti chiave e gli articoli relativi al GDPR

Essere conformi al GDPR non riguarda solo "riparare un sito web". Fa parte di tutta la tua organizzazione.

Ci sono solo alcune situazioni in cui le aziende non elaborano affatto le informazioni. Nella maggior parte dei casi, esistono diversi livelli di personale chiave (risorse umane, IT, marketing, team di sicurezza) che interagiscono con i dati dei clienti e pertanto devono essere a conoscenza del regolamento generale sulla protezione dei dati. Non è uno spettacolo per una persona. Hai bisogno di implementazioni sia tecniche che legali.

Comprensione dei termini è un grande passo. Ecco alcuni che utilizzeremo nella guida e ti aiuteranno a navigare nel GDPR:

  • Interessato – una persona fisica i cui dati personali sono trattati da un responsabile del trattamento o incaricato del trattamento.
  • Titolare del trattamento – l’entità che determina le finalità, le condizioni e le modalità del trattamento dei dati personali.
  • Dati personali – qualsiasi informazione relativa a una persona fisica o interessata che possa essere utilizzata per identificare direttamente o indirettamente la persona.
  • Elaboratore di dati – l’entità che elabora i dati per conto del Titolare.

Successivamente, acquisisci familiarità con gli articoli seguenti. Ciò renderà meno difficile la transizione al GDPR.

  • Arte. 5: Principi relativi al trattamento dei dati personali.
  • Arte. 6: Basi legali del trattamento dei dati personali.
  • Arte. 12 – 22: Diritti dell’interessato (accesso, portabilità dei dati, diritto all’oblio, ecc.)
  • Arte. 25 & 32: Le aziende dovrebbero attuare le misure di protezione necessarie per proteggere i dati personali dell’interessato.

⚡ Passaggi di azione:

  • Prenditi il ​​tuo tempo per leggere la legge.
  • Dai un’occhiata alla nostra guida completa al GDPR di WordPress.
  • Elaborare i dati dell’utente con attenzione. Trattalo come tratteresti i segreti commerciali.
  • Valuta i tuoi prodotti, servizi, strumenti, fornitori, ecc. In base alle disposizioni del GDPR.
  • Informa i tuoi collaboratori sui rischi e benefici del GDPR.

2. Cosa fare ora per la conformità al GDPR

Dovresti agire in una manciata di aree diverse:

2.1. Mappatura dei dati

Un passo importante verso la conformità con il GDPR è capire come si muovono i dati all’interno dell’organizzazione. Documentare il modo in cui le informazioni fluiscono nella tua azienda facendo un inventario ti aiuta a dimostrare la tua conformità. Un buon punto di partenza dovrebbe essere questa mappa di dati: Modello di mappa dati GDPR

mappa dei dati di conformità gdpr

La mappatura del flusso di dati ti aiuterà anche a identificare le aree che potrebbero causare problemi di conformità al GDPR. Ricorda che le operazioni di trattamento possono essere condotte solo se il titolare del trattamento può fare affidamento almeno su base lecita. La base legale più appropriata dipenderà dai dati personali in elaborazione e dalle finalità del trattamento.

2.2. politica sulla riservatezza

Rivedi e aggiorna la tua attuale Informativa sulla privacy. Questo è il primo posto in cui le persone cercheranno di verificare la conformità al GDPR.

È necessario comunicare agli individui la base giuridica per l’elaborazione dei dati, i periodi di conservazione, il diritto di lamentarsi quando i clienti non sono soddisfatti della propria implementazione, se i loro dati saranno soggetti a processi decisionali automatizzati e i loro diritti ai sensi del GDPR.

Inoltre, è necessario fornire le informazioni in un linguaggio conciso, facile da capire e chiaro.

2.3. Formazione

Il GDPR è un progetto di cambiamento aziendale: le persone con cui lavori devono comprendere l’importanza della protezione dei dati ed essere addestrati sui principi di base del GDPR e sulle procedure implementate per la conformità.

Condividi questo articolo con persone che devono essere informate.

⚡ Passaggi di azione:

  • Mappa e documenta i flussi di dati eseguiti dai responsabili del trattamento.
  • Essere completamente trasparenti per l’utente che sta rinunciando alle proprie informazioni.
  • Informare i dipendenti, i fornitori e i clienti ai sensi dell’art. 13 del GDPR.
  • Configura il tuo metodo di consenso per utilizzare il consenso esplicito / attivo durante l’elaborazione di dati personali sensibili sul tuo sito web.

3. Passaggi di conformità al GDPR da intraprendere successivamente

I responsabili del trattamento dei dati dovrebbero sempre collaborare con l’autorità di controllo in merito all’adempimento dei loro compiti.

Pianifica audit regolari delle attività di elaborazione dei dati e controlli di sicurezza nella tua organizzazione. Tenere aggiornati i dati relativi al trattamento dei dati personali per la prova del consenso.

3.1. Controlla cosa stanno facendo gli altri fornitori

Poiché il GDPR non ha regole ben definite, il mercato dovrà escogitare diverse tattiche per assicurarsi che i dati siano conformi ma non sacrificare l’esperienza dell’utente. Molte aziende sono uscite con nuove funzionalità, quindi assicurati di controllare i siti Web della concorrenza per le modifiche e le migliori pratiche per la tua nicchia.

3.2. Segnala violazioni dei dati

Dovresti assicurarti di disporre delle giuste procedure per rilevare, segnalare e indagare non solo violazioni dei dati interne ma anche esterne. Essere intelligenti durante l’impostazione della matrice di violazione dei dati in base alla gravità della violazione dei dati, al numero di persone interessate, al tipo di dati personali interessati, ecc..

Tipicamente, è necessario segnalare le violazioni dei dati all’Autorità di controllo entro 72 ore, a meno che i dati personali non siano stati resi anonimi o crittografati.

3.3. Continuare a lavorare su politiche, procedure e processi operativi

Come accennato in precedenza, la privacy non è un progetto una tantum. È un lavoro continuo per assicurarsi che i dati raccolti siano sicuri e utilizzati con un ambito adeguato. Dovresti rivedere le tue procedure per assicurarti che coprano tutti i diritti delle persone, incluso il modo in cui elimineresti i dati personali o fornirli elettronicamente in un formato comunemente usato.

⚡ Passaggi di azione:

  • Progettare il meccanismo di segnalazione delle violazioni dei dati.
  • Porta tutte le procedure interne in linea con il GDPR e le politiche sulla privacy.
  • Revisionare e aggiornare i contratti di dipendenti, clienti e fornitori.
  • Proteggere i dati personali attraverso adeguate misure organizzative e tecniche.
  • Verifica se i trasferimenti di dati al di fuori dell’UE sono conformi ai requisiti GDPR. Non dimenticare i punti di transizione.

4. Regolazioni del sito Web

Questo argomento è un po ‘controverso, soprattutto per sviluppatori e esperti di marketing. Direi che la modifica dei moduli e il consenso per i cookie dovrebbero risolvere l’80% dei problemi. Tuttavia, tieni presente che non si tratta di consulenza legale.

4.1. Moduli di iscrizione

Questo è il modo standard in cui le aziende raccolgono informazioni, quindi è necessario modificare tutti i moduli utilizzati. Non esiste un consenso sul modo migliore per farlo, ma stiamo seguendo i consigli del nostro fornitore di servizi di posta elettronica. Questo Infografica sul rendere gli opt-in conformi al GDPR è un buon punto di partenza.

4.2. Consenso sui cookie

La versione breve: informa i tuoi visitatori in un linguaggio semplice sullo scopo dei tuoi cookie e tracker prima di impostare qualcosa di diverso dai cookie strettamente necessari.

Esistono diversi modi in cui le aziende implementano questo e il Riferimento al GDPR ai cookie non chiarisce le cose. Certo, ci sono i cosiddetti cookie funzionali che vengono utilizzati per una sessione, ma è necessario il consenso specifico per impostare un cookie per tracciare l’utente.

Quello che devi sapere qui, è quello un altro regolamento europeo (ePrivacy) sta venendo fuori che legifererà ulteriormente i cookie.

5. Altre questioni di conformità al GDPR da considerare

Ecco altri aspetti del GDPR che non sono meno importanti:

5.1. Trasferimento e divulgazione dei dati

Occhi sul trasferimento dei dati personali. Assicurati che i tuoi responsabili del trattamento richiedano la tua approvazione ogni volta che intendono trasferire dati al di fuori di UE / SEE. Le stesse regole si applicano quando i responsabili del trattamento dei dati intendono subappaltare parte dei servizi che forniscono.

5.2. Valutazioni di impatto sulla protezione dei dati (DPIA)

Il GDPR introduce DPIA obbligatorie per le organizzazioni coinvolte nell’elaborazione ad alto rischio, come ad esempio l’implementazione di nuove tecnologie, un’operazione di profilazione che potrebbe influenzare significativamente le persone, il monitoraggio su larga scala di un’area accessibile al pubblico, ecc..

5.3. Valutazioni di interessi legittimi (LIA)

A differenza delle DPIA, le LIA sono solo le migliori pratiche sviluppate principalmente da specialisti della privacy e si riferiscono a tutte quelle situazioni in cui i responsabili del trattamento dei dati cercano di fare affidamento su interessi legittimi (operazioni di marketing, ecc.). Un "interesse" può essere considerato come "legittimo" purché il responsabile del trattamento dei dati possa perseguire tale interesse in modo conforme alla protezione dei dati e ad altre leggi.

5.4. Responsabili della protezione dei dati

Il GDPR richiederà ad alcune organizzazioni di designare un responsabile della protezione dei dati (DPO). Le organizzazioni che richiedono RPD comprendono autorità pubbliche, organizzazioni le cui attività comportano il monitoraggio regolare e sistematico degli interessati su larga scala o organizzazioni che elaborano ciò che è attualmente noto come "dati personali sensibili" su larga scala.

5.5. Elaborazione dei dati dei minori

Se l’organizzazione elabora dati da soggetti minorenni, è necessario assicurarsi di disporre di sistemi adeguati per verificare le singole età e ottenere il consenso dei tutori. Il GDPR ha alcune disposizioni specifiche per i minori di 16 anni (si prega di notare l’articolo 8 del GDPR)

6. Monitorare e controllare

Le aziende devono riconoscere che essere trasparenti su come i dati vengono utilizzati e protetti è ora richiesto dalla legge. Ogni organizzazione (inclusi enti di beneficenza ed enti del settore pubblico) deve definire un ambito per cui raccogliere dati specifici.

Dovresti solo raccogliere le informazioni personali necessarie per fornire il servizio o il prodotto e nient’altro. Inoltre, i dati non devono essere condivisi per altri scopi non correlati.

Un’altra cosa importante è mantenere i dati al sicuro da hacking, accurati e aggiornati e persino cancellarli dopo un periodo.

Il regolamento generale sulla protezione dei dati lascia molti margini di miglioramento quando si tratta di proteggere le persone. Questo è il motivo per cui il futuro regolamento sulla ePrivacy porterà ancora più trasparenza, specialmente nei Big Data, facendo luce sull’occorrenza e sullo scopo dell’analisi. Questo dovrebbe essere un motivo sufficiente per monitorare e controllare i dati su base regolare.

Non fermarti qui. Vai alle risorse ufficiali che abbiamo usato per questa guida e scopri la privacy.

Alla fine, ci sono livelli di conformità e dovresti decidere quale si adatta a te in base a molti più fattori rispetto a quelli elencati qui. Tuttavia, questo è un ottimo inizio per farti andare nella giusta direzione e verso la conformità al GDPR. Naturalmente, come azienda, dobbiamo tutti mantenerci competitivi sul mercato, in modo che ci siano alcuni compromessi.

Come ti stai preparando per la conformità al GDPR? Condividi le tue migliori pratiche nei commenti!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Это интересно
    Adblock
    detector