Dieci cose da sapere sul GDPR

Dieci cose da sapere sul GDPR

E' stato appena introdotto il regolamento dell'Unione Europea sulla General Data Protection (GDPR). Ecco dieci cose che dovete sapere . Siete pronti?

  1. Seguire il regolamento

Il nuovo regolamento richiede che il detentore del registro delle informazioni personali sia in grado di dimostrare di trattare i dati personali nel modo richiesto. In pratica, ciò significa che dovete tenere un registro delle operazioni di elaborazione dei dati che sono sotto la vostra responsabilità per dimostrare che il  tutto sia in conformità con i regolamenti.

  1. Assicuratevi di avere il consenso

Se il trattamento dei dati personali si basa sul consenso di una persona, è necessario essere in grado di dimostrare che tale consenso è stato dato. Inoltre, i requisiti per il consenso diventeranno più rigidi in futuro: il consenso deve essere dato chiaramente con una dichiarazione scritta, elettronica o verbale. Il consenso deve dimostrare che la persona ha espresso volontariamente il proprio consenso, consapevole ed esplicito e che accetti l'uso dei propri dati personali. In genere ciò si ottiene facendo clic sull’ apposita casella.

  1. Fai rispettare il diritto all' oblio

Un nuovo aspetto del regolamento è il diritto della persona registrata di essere dimenticata. In pratica ciò significa il diritto di rimuovere i dati dai vostri database. Questo può verificarsi quando la persona ritira il consenso che ha già dato per l'utilizzo dei propri dati personali. Tuttavia, se l'uso di dati personali è su un'altra base legale, non vi è alcun obbligo di rimuovere i dati. Se si ha l'obbligo di rimuovere i dati, è necessario informare tutti coloro che sono in possesso dei dati o che li hanno pubblicati. Questo per garantire che vengano rimossi anche tutti i collegamenti, i duplicati e le copie.

 

  1. Applicare il diritto di spostare i dati

Attualmente, chiunque ha il diritto di ricevere i propri dati in un formato leggibile e trasferirli ad un altro custode del registro dei dati personali. Questo diritto si applica anche ai dati personali che una persona vi ha fornito tramite il consenso o un accordo. Tale obbligo, tuttavia, non obbliga l'utente ad approvare o mantenere sistemi di elaborazione dati tecnicamente compatibili.

 

  1. Il divieto di profilazione potrebbe influire su di te 

Chiunque ha il diritto di non diventare l’ oggetto di una decisione che può avere una conseguenza giudiziaria basata sull'elaborazione automatica dei dati.In altre parole, ciò significa che non è possibile prendere decisioni importanti che riguardano una persona in base a un processo automatico di elaborazione dati. Un'eccezione a questo "divieto di profilazione" esiste quando la decisione è necessaria per il completamento di un contratto tra una persona e la vostra azienda. È necessario assicurarsi che i modelli di profilazione e decisionali siano conformi alla legge e che vengano apportate le modifiche necessarie. Un esempio comune di eccezione al divieto di profilazione riguarda le decisioni relative al credito. Queste decisioni sono spesso basate su sistemi di classificazione automatizzati e raccomandazioni decisionali.

 

  1. Informazioni riguardo le violazioni nella sicurezza dei dati

In futuro le aziende saranno obbligate a informare le autorità e le persone registrate di eventuali violazioni della sicurezza dei dati. Ciò include le situazioni in cui i diritti e le libertà di ogni individuo vengono violati. Nel caso in cui si verifichino queste situazioni, ci sono due cose da fare:

 

  • È necessario informare le autorità entro 72 ore dalla violazione, è necessario informare tutte le persone interessate della violazione non appena sia probabile che la violazione violi la sicurezza e la libertà degli interessati.

 

  • E’ importante essere a conoscenza di delle procedure interne per garantire un processo efficiente e corretto di gestione dei dati.
  1. Informazioni sulla procedura dati

Le aziende di tutto il mondo stanno raccogliendo tanti dati, mai come in precedenza. Al fine di rispettare la normativa UE in futuro, è necessario fornire maggiori informazioni sull'elaborazione dei dati rispetto a quanto richiesto in precedenza. Questo significa che bisogna indicare il tempo di archiviazione per i dati personali. Oppure, se  non è possibile, è necessario rendere noti i criteri utilizzati per determinare il tempo di archiviazione. Questo significa, ad esempio, l'aggiornamento del registro e dei documenti sulla sicurezza dei dati, oltre attuare in pratica un processo di gestione delle informazioni raccolte.

 

 

  1. Il ruolo del nuovo responsabile della protezione dei dati

Con l'attenzione crescente sulla protezione dei dati, potrebbe essere necessario nominare un responsabile della protezione dei dati per gestire i dati personali. Ad esempio, le organizzazioni che richiedono un responsabile della protezione dei dati sono aziende in cui vi è un ampio, regolare e sistematico monitoraggio delle persone o le loro attività principali sono costituite da tale monitoraggio. Vi consigliamo di valutare se è il caso di assumere un responsabile della protezione dei dati

 

  1. L'esternalizzazione della gestione dei dati personali richiederà misure protettive da parte dell'utente. 

Se esternalizzate qualsiasi parte del processo di gestione dei dati a un'altra entità, è necessario assicurare che adeguate misure di protezione tecnica e organizzativa soddisfino i requisiti delle normative. È necessario garantire che i diritti delle persone registrate siano tutelati In pratica ciò significa che è necessario identificare le situazioni in cui l'outsourcing è consentito e appropriato e garantire che tutti i contratti siano redatti correttamente. Ad esempio, l'archiviazione dei dati nei servizi cloud viene considerata come esternalizzazione, anche se il fornitore di servizi non elabora attivamente i dati.

 

  1. Le violazioni possono comportare una multa piuttosto consistente. 

 È inoltre significativo che oltre a un avviso, si potrebbe ricevere una multa  per aver violato il regolamento sulla protezione dei dati. La multa può arrivare a un massimo di 20 milioni di euro o al 4% del fatturato totale della vostra azienda.