Questo articolo fa parte di una serie di approfondimenti sul GDPR. Per saperne di più, consulta tutte le News sul GDPR oppure contattaci.
Nell'articolo precedente, abbiamo visto le prime cinque delle dieci cose più importanti che devi sapere sul GDPR.
6) "Privacy by Design"
Con questa locuzione ci si intende che il diritto alla privacy deve essere al centro di tutte le attività aziendali, e non un risultato ottenuto in modo collaterale.
Le aziende devono attivare flussi di lavoro per trattare correttamente i dati personali fin dalla loro progettazione e a seguire in tutte le fasi, dalla prima attuazione alla rassicurazione continua che i dati personali siano trattati a norma di GDPR.
7) Valutazione dell'impatto della protezione dei dati
Questa punto è di particolare interesse per le realtà il cui core business è fortemente incentrato sul trattamento dei dati personali.
Prima di intraprendere ogni nuovo processo aziendale e prima di modificare un processo aziendale esistente, si rende necessario valutare se e come esso va a trattare dati personali.
In caso di processi particolarmente complessi, può addirittura rendersi necessaria la stesura di una relazione completa, detta Valutazione dell'impatto della protezione dei dati.
8) Trasferimento dei Dati Personali
I Titolari del trattamento dei dati sono responsabile del trattamento dei dati che viene eseguito da eventuali terze parti coinvolte, dette anche Responsabili del trattamento dei dati.
In altre parole, il trattamento dei dati deve essere fatto a norma di GDPR su tutta la "filiera" che parte dalla persona proprietaria dei dati e arriva, passando dai Titolari, a tutti i Responsabili.
I Titolari hanno quindi l'obbligo di assicurarsi che anche il trasferimento dei dati personali tra uno step e il successivo avvenga in maniera sicura, sia tra reparti interni all'azienda, sia verso terze parti. Restrizioni ancora più stringenti si applicano se il trasferimento dei dati prevede il passaggio (anche telematico) al di fuori dell'Unione Europea.
9) Data Protection Officer
Come per la Valutazione dell'impatto del trattamento dei dati, anche questo punto è di particolare interesse per quelle aziende in cui il trattamento dei dati personali è di pervasivo.
Quando il trattamento dei dati personali è particolarmente significativo, le aziende devono incaricare un Data Protection Officer, la cui responsbilità è quella di assicurarsi che l'azienda sia conforme con il GDPR.
10) Trattamento trasparente, corretto e legittimo
Tutte le aziende che trattano dati personali devono acquisire il consenso informato a un trattamento trasparente, corretto e legittimo.
Cosa significa esattamente questo?
- Legittimo significa che il trattamento dei dati deve essere conforme al regolamento e supportato da una motivazione (ad esempio, il conseguimento dell'obiettivo sociale)
- Corretto inteso come "fair play", nel senso che le aziende hanno la responsabilità di non trattare i dati personali in modo diverso da quello per cu il consenso informato è stato acquisito
- Transparent in quanto le aziende informano con ciarezza sempre i proprietari dei dati sui trattamenti in corso, sulle modalità di ritiro del consenso, e sugli altri diritti di cui le persone godono per merito del GDPR.
La tua azienda è pronta per il GDPR?
Quale tra le dieci cose più importanti da sapere sul GDPR non ti è chiara? Hai già valutato l'impatto del GDPR sul tuo sito web, sulla tua newsletter e sul tuo marketing? I dati personali nel tuo CRM, nel tuo gestionale e nel tuo documentale sono trattati a norma di legge? Contattaci se vuoi sapere come possiamo aiutarti a scoprirlo.