Come essere conformi al GDPR?

Se sei un’azienda o un’organizzazione che raccoglie dati personali, è difficile sapere come iniziare a diventare conforme. Tuttavia, l’ignoranza non sarà una difesa praticabile. Ecco perché abbiamo messo insieme una lista di controllo completa in 9 passaggi per aiutarti a diventare conforme al GDPR.

1. Quali dati raccoglierete?

Questa è la domanda fondamentale. Sapere quali dati sono necessari per fornire il servizio indicato. Ma ricorda, secondo il GDPR, dovresti raccogliere solo dati personali essenziali per lo scopo dichiarato.

Prima di raccogliere questi dati, è necessario chiedere il consenso esplicito dell’interessato. Potrebbe trattarsi del consenso scritto o della spunta di una casella. Ma devi essere in grado di dimostrare che il consenso è stato dato.

Inoltre, il consenso dovrebbe essere dato solo per uno scopo specifico. Se i dati devono essere utilizzati per più scopi, dovrebbe essere dato un consenso informato ed esplicito per ciascuno. Dovresti anche indicare chiaramente i diversi scopi. La trasparenza è uno dei principi del GDPR.

2. Per quanto tempo conserverete i dati?

Decidi per quanto tempo saranno necessarie le informazioni. Ai sensi del GDPR, i dati non possono essere conservati più a lungo del necessario. Pertanto, definire chiaramente in quale momento i dati verranno eliminati, come e perché.

Dovrai anche fornire un meccanismo attraverso il quale l’interessato possa revocare il proprio consenso. Ciò significa che dovrai eliminare i loro dati personali.

3. Come conserverete i dati?

Uno degli obiettivi fondamentali del GDPR è limitare le violazioni dei dati. Ciò significa che dovrai riflettere attentamente su come vengono archiviati i dati, assicurandoti di mantenerne l’integrità e la riservatezza.

Inoltre, ai sensi dell’articolo 33, siete tenuti a informare l’Associazione per la protezione dei dati entro 72 ore in caso di violazione dei dati. Ti verrà inoltre richiesto di informare l’interessato della violazione dei dati, elencando quali dati personali sono stati esposti.

4. Quanti anni ha la persona consenziente?

Ai sensi del GDPR, solo le persone di almeno 16 anni sono autorizzate a consentire la raccolta dei dati personali. Pertanto, se raccogli dati personali su utenti più giovani, sarai conforme al GDPR e il consenso non sarà valido.

5. Nominare un responsabile della protezione dei dati (DPO)

Secondo il GDPR, un’organizzazione deve nominare un DPO per uno dei seguenti elementi:

– Se i dati sono trattati da un’autorità pubblica
– Se i dati raccolti sono sottoposti a monitoraggio sistematico
– Se i dati raccolti vengono elaborati su larga scala

C’è chiaramente ambiguità qui, poiché il GDPR non definisce quanto sia grande la scala. Pertanto, è spesso sensato nominare un DPO per supervisionare la strategia di protezione dei dati, indipendentemente dalla portata della raccolta dei dati personali.

6. Tieni un diario GDPR

Qui, sarebbe meglio se documentassi come la tua organizzazione pratica la conformità GDPR. Ciò include la mappatura dei flussi di dati attraverso l’organizzazione, tutte le origini dati e il modo in cui si mitiga il rischio di violazioni dei dati.

Fornisce inoltre copertura nel caso in cui la tua organizzazione subisca una violazione dei dati mentre implementa il suo framework di conformità.

7. Doppio opt-in per le nuove iscrizioni alla mailing list

Sì. Per chiunque si iscriva alla tua mailing list, includi un doppio processo di opt-in. Ciò significa che devono confermare il loro consenso due volte. Il primo si verifica quando il modulo di iscrizione è completato. Il secondo consenso avviene tramite l’utente che fa clic sul link di conferma inviato automaticamente dopo la compilazione del modulo di iscrizione.

Sebbene il GDPR non specifichi le iscrizioni obbligatorie a doppio opt-in, è l’attuale standard elevato per la protezione dei dati e il consenso.

8. Scrivi o aggiorna la tua politica sulla privacy

In una politica sulla privacy, un’organizzazione dovrebbe indicare chiaramente quali dati personali vengono raccolti e come verranno utilizzati. Deve essere sempre aggiornato e disponibile sul sito Web dell’organizzazione.

9. Valutare regolarmente i rischi di terze parti

Essere conformi al GDPR non significa solo tenere in ordine la propria casa. Si riferisce anche al rischio dei dati presentato da terzi. Qui, i dati possono essere condivisi tra le organizzazioni. Ciò richiede una continua consapevolezza dei rischi per la sicurezza, con sforzi correttivi in atto.

Sebbene nessun sistema possa essere privo di rischi al 100%, la valutazione di routine dei potenziali rischi per la sicurezza è fondamentale. Ti consigliamo di registrare i tuoi risultati e le tue azioni nel diario GDPR.