Come adeguare e mettere a norma la propria Azienda al GDPR
Il 25 maggio 2018 è entrato in vigore il GDPR (General Data Protection Regulation) emanato dall’UE.
Quali sono i passi che dovete compiere per assicurarvi di seguire le linee guida?
In primo luogo, parleremo in dettaglio delle linee guida GDPR esposte in questo post, le aree specifiche della vostra attività che le linee guida influenzano, e perché si dovrebbe essere preoccupati per la conformità della tua Azienda al GDPR.
Questo post ha lo scopo di aiutare le aziende che non gestiscono i dati personali come attività principale, come le PMI che trattano principalmente i dati personali dei loro dipendenti o conservano elenchi di clienti. Sono coinvolti anche i commercianti e i negozi, come le panetterie e i macellai, oppure i fornitori di servizi come gli architetti.
I dati personali sono tutte le informazioni che riguardano una persona vivente e reale (non entità giuridiche). Comprendono, ad esempio: nome, cognome, indirizzo di casa, indirizzo e-mail o dati sulla posizione dalla mappa sul tuo cellulare. Generalmente, sono i dati che potresti aver raccolto sui tuoi dipendenti, clienti o fornitori.
Gli Step per rendere compliance e quindi adeguare e mettere a norma la tua Azienda/Impresa alla normativa GDPR
- CONTROLLA I DATI PERSONALI CHE RACCOGLI E TRATTI, LO SCOPO PER CUI LO FAI E SU QUALE BASE GIURIDICA
Hai dipendenti; stai trattando i loro dati personali in base al contratto di lavoro e in base agli obblighi legali (es. segnalazione alle autorità fiscali / sistema previdenziale). Puoi gestire un elenco di clienti singoli, ad esempio per inviare loro avvisi su offerte speciali / annunci se hai ottenuto il consenso da questi clienti. Non hai sempre bisogno del consenso. Infatti, ci sono casi in cui le persone si aspettano che tu tratti i loro dati: ad esempio, un venditore di pizze può usare l’indirizzo di consegna per pubblicizzare uno dei suoi nuovi prodotti. Si tratta in questo caso di «interesse legittimo». Devi però informare le persone circa l’uso previsto e interrompere il trattamento di tali dati se ti dicono di farlo. Se gestisci un elenco di fornitori o clienti aziendali, lo fai in base ai contratti che hai con loro. I contratti non sono necessariamente in forma scritta. - INFORMA I TUOI CLIENTI, DIPENDENTI E ALTRI SOGGETTI QUANDO RACCOGLI I LORO DATI PERSONALI
Le persone devono sapere che si stanno trattando i loro dati personali e per quale finalità. Ma non c’è bisogno di informare le persone quando hanno già informazioni su come userete i dati, ad esempio quando un cliente ti chiede di effettuare una consegna a domicilio. Se te lo chiedono, devi anche informare le persone dei dati personali che conservi su di loro e dare loro accesso ai dati. Mantieni i dati in ordine, in modo che quando ad esempio un tuo dipendente ti chiede quale tipo di suoi dati personali detieni, puoi fornirli facilmente senza alcun problema. - CONSERVA I DATI PERSONALI SOLTANTO PER IL TEMPO NECESSARIO
Dati sui dipendenti: fintanto che sussiste il rapporto di lavoro e gli obblighi legali connessi. Dati sui clienti: finché dura il rapporto con il cliente e i relativi obblighi legali (ad esempio a fini fiscali.) Tali documenti devono includere le informazioni elencate di seguito.
- Cancella i dati che non sono più necessari per le finalità per cui li hai raccolti.
Se conservi questi dati su un sistema IT, limita l’accesso ai file contenenti i dati, ad esempio tramite una password. Aggiorna regolarmente le impostazioni di sicurezza del sistema.
(Nota: il regolamento non prescrive l’utilizzo di alcun sistema IT specifico). Se archivi documenti fisici con dati personali, assicurati che non siano accessibili da persone non autorizzate; chiudili in cassaforte o in un armadio. - CONSERVA LA DOCUMENTAZIONE SULLE TUE ATTIVITÀ DI TRATTAMENTO DEI DATI
Prepara un breve documento che spiega quali dati personali conservi e per quali motivi. Potresti dover presentare la documentazione disponibile all’autorità nazionale per la protezione dei dati, se lo richiede. - ACCERTATI CHE IL TUO SUB-APPALTATORE RISPETTI IL REGOLAMENTO.
Se subappalti il trattamento dei dati personali a un’altra società, utilizza solo un fornitore di servizi che garantisca il trattamento conformemente ai requisiti del regolamento (ad esempio per le misure di protezione). Prima di firmare un contratto, controlla se è già stato modificato e adattato al regolamento e inserisci questo elemento nel contratto. - VERIFICA SE LE SEGUENTI DISPOSIZIONI TI RIGUARDANO
Per proteggere meglio i dati personali, le società potrebbero dover nominare un responsabile della protezione dei dati. Tuttavia, non è necessario designare un responsabile della protezione dei dati se il trattamento di dati personali non è una parte fondamentale della tua attività, non è un trattamento rischioso e la tua attività non opera su larga scala.
Ad esempio, se la tua impresa raccoglie solo dati sui clienti per la consegna a domicilio, non è necessario nominare un responsabile della protezione dei dati.
Anche se è necessario avvalersi di un responsabile della protezione dei dati, potrebbe essere un dipendente già assunto incaricato di questa mansione in aggiunta alle sue altre attività, oppure un consulente esterno, così come molte imprese usano contabili esterni.
Normalmente non è necessario eseguire una valutazione dell’impatto sulla protezione dei dati
Tale valutazione d’impatto è riservata a coloro che presentano maggiori rischi per i dati personali, ad esempio chi effettua una sorveglianza su vasta scala di un’area accessibile al pubblico (ad esempio, la videosorveglianza).
Se sei una piccola azienda che gestisce gli stipendi dei dipendenti e un elenco di clienti, non è necessario eseguire una valutazione dell’impatto sulla protezione dei dati per tali operazioni.
Applica i principi chiave per adeguare la tua Azienda al GDPR:
- raccogli i dati personali per una finalità ben definita e non usarli per qualcos’altro (se comunichi ai clienti di darti la loro e-mail in modo da poter ricevere le tue nuove offerte o promozioni, non puoi usare questa e-mail per nient’altro o vendere questa informazione a un’altra società);
- non raccogliere più dati di quelli che ti servono (se fai la consegna a domicilio, hai bisogno ad esempio di un indirizzo, un nome sul campanello, ma non hai bisogno di sapere se questa persona è sposata o single) e sii consapevole dei dati personali sotto il tuo controllo.
Minore è il coinvolgimento della tua attività con i dati personali, meno dovrai fare per essere compliance
Se desideri ottenere maggiori informazioni su come adeguare la tua Azienda alla nuova normativa GDPR:
- 1. Visita la guida online della Commissione europea sulla riforma della protezione dei dati, disponibile in tutte le lingue dell’UE:
https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_it
2. Consulta l’Autorità nazionale per la protezione dei dati: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612080
Per qualsiasi informazione o consulenza in merito all’adeguamento della tua azienda al GDPR non esitare a contattarmi.
Termini di ricerca correlati: gdpr chi deve adeguarsi, chi deve adeguarsi al gdpr,gdpr esempio, adeguamento gdpr,,esempio registro dei trattamenti gdpr,gdpr azienda, gdpr cosa fare per mettersi in regola
