GDPR: cosa bisogna fare e cosa stiamo facendo

Di cosa si tratta

 Il nuovo Regolamento Europeo 2016/679 GDPR (General Data Protection Regulation), in vigore a partire dal 25 maggio 2018, è il nuovo regolamento in materia di protezione dei dati personali che ha come scopo la protezione degli individui e dei loro dati.

Questo regolamento si applica a tutti gli stati membri dell’UE e prevede diversi nuovi obblighi e accorgimenti da parte delle aziende.
 

A chi si applica

Devono adeguarsi al GDPR tutte le aziende (di qualsiasi dimensione) che trattano i dati personali dei cittadini UE o che monitorano il comportamento delle persone a fini di marketing.
 

Cosa si intende per dati personali

Per dato personale si intende, secondo l’Art.4:

“qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale“.

Cosa bisogna fare e cosa stiamo facendo noi

• Fare una verifica dei dati personali degli utenti in tuo possesso. Verifica come sono stati raccolti, con chi sono condivisi, con quali software sono gestiti. Questi dati sono stati raccolti dando una reale possibilità di scelta, con un’azione chiara e affermativa? Se la risposta è no devi chiedere di nuovo il consenso al trattamento dei dati ai contatti del tuo database.
• Accountability, incorporare il principio cardine del GDPR: bisogna poter dimostrare l’adeguatezza dei propri processi di compliance rispetto al nuovo regolamento. Devi configurare delle misure di sicurezza per la protezione dei dati, fare una valutazione del rischio, predisporre un registro dei trattamenti, documentare al Garante e agli interessati eventuali breach, violazioni e fughe di dati. Ogni violazione e fuga di dati va documentata, “comprese le circostanze, le sue conseguenze e i provvedimenti adottati per porvi rimedio” entro 72 ore dal fatto (art. 33).
• Garantire i diritti delle persone: in tempi brevi e in modo chiaro devi essere in grado di fornire agli interessati una copia dei loro dati personali in tuo possesso, comunicare come questi vengono trattati e conservati. Gli utenti hanno anche il “diritto all’oblio”, ovvero la possibilità di richiedere la cancellazione dei propri dati e il diritto alla portabilità, ovvero la possibilità di trasferire i propri i dati.
• Nominare un Dpo, ossia un data protection officer responsabile della protezione dei dati e della stesura del Registro dei Trattamenti. “Questa figura è necessaria nel caso in cui l’azienda fa da titolare o responsabile del trattamento dei dati e le procedure di trattamento dei dati richiedono il monitoraggio regolare o sistematico degli interessati su larga scala”. (cit. Experian)
• Riscrivere la privacy policy aziendale ed adeguarla alla nuova normativa.

 

Il consiglio generale è quello di richiedere una consulenza ad un professionista esperto nel tema della privacy e della protezione dei dati.

Per adeguarci, noi di Adria Web, stileremo una privacy policy aggiornata e renderemo ancora più chiara e trasparente la richiesta al trattamento dei dati personali nei form.
Inoltre, invieremo una comunicazione ai nostri clienti informandoli della necessità di adeguarsi al GDPR e presenteremo loro le opzioni per fornire una reale e trasparente possibilità di scelta ai loro contatti tramite una newsletter.