Il 25 maggio 2018 è entrata in vigore la nuova normativa europea sulla protezione dei dati personali (il famoso GDPR) e molti tra i nostri clienti ci hanno chiesto informazioni riguardo all’impatto che questa normativa avrà sulla loro azienda e agli eventuali interventi da eseguire per far fronte a queste nuove esigenze.
La normativa è molto ramificata e soggetta ad interpretazioni, naturalmente i requisiti da implementare per ogni tipologia di azienda non sono tutti uguali bisogna quindi innanzitutto capire quali sono gli ambiti della normativa che interessano ogni singola azienda e capire cosa implementare e cosa invece è già soddisfatto.
LA NORMATIVA
Il GDPR cerca nella sua stesura di preservare il diritto alla privacy dei cittadini europei e di dare la possibilità agli stessi di averne il pieno controllo anche quando questi dati sono trattati da terzi.
La normativa descrive in modo analitico le aziende che possano/debbano detenere e trattare i dati considerati privati, tracciando comunque le differenze tra tipologie di aziende, strutture, grandezze ecc.
Le aziende devono definire il trattamento dei dati personali, cercare il consenso esplicito dei titolari, proteggere questi dati da possibili utilizzi fraudolenti.
COSA DEVE FARE L’AZIENDA
La prima richiesta è quella di definire la raccolta dei dati partendo dalla loro finalità e dalla modalità di raccolta, quindi deve essere redatta una informativa sulla protezione dei dati che deve essere messa a disposizione dei clienti, partners e dipendenti.
Tale informativa deve essere semplice e chiara e deve descrivere anche il trattamento di detti dati.
Il titolare del trattamento dei dati (normalmente l’azienda) deve nominare un responsabile del trattamento.
I dati in possesso di una azienda non sono tutti uguali quindi sarà necessario:
- Individuare le varie categorie di interessati al trattamento dei dati personali e cioè: clienti, fornitori, dipendenti, agenti, consulenti,candidati, ecc.
- Definire i tipo dei dati trattati e se questi comprendono dati considerati sensibili (etnici, medici, giudiziari, di età ecc.).
- Indicare ai titolari dei dati il periodo di conservazione dei dati.
- Redarre un elenco delle persone che interagiscono con i dati e i relativi strumenti (PC, server, strumenti di backup, ecc.)
- Controllare l’accesso ai dati con password definite da regole di complessità/lunghezza, tali password devono essere modificate periodicamente.
I dati dovranno essere adeguatamente protetti anche quando sono su supporti cartacei e deve essere documentata la modalità di backup e i relativi supporti.
Dovranno essere inoltre predisposte le procedure da implementare in caso di emergenze che coinvolgono i dati personali.
COSA PUO’ FARE MIAPPLICA
Come detto la normativa è complessa e ramificata ed è per questo che per ogni azienda bisogna partire da una analisi delle attività relative ai dati personali, abbiamo quindi predisposto una check list di massima che permetta, autonomamente o aiutati dai propri consulenti, alle aziende di riconoscere quali sono le procedure da attuare.
Clicca QUI per visionare il regolamento Europeo