Il 25 maggio entra in vigore il Regolamento dell’Unione Europea sulla protezione dei dati personali, il famigerato GDPR (“General Data Protection Regulation”).
Cosa occorre fare esattamente per adeguarsi alla normativa? Di seguito alcune considerazioni. Per cominciare…
A chi si applica il nuovo Regolamento UE 2016/679 (GDPR) per la privacy?
Il Regolamento UE 2016/679 (GDPR) si applica a qualsiasi azienda o organizzazione che, durante lo svolgimento della propria attività, tratti dati personali o monitori il comportamento delle persone. Il Regolamento si applica sia alle grandi società, sia alle piccole e medie imprese a prescindere dalle dimensioni.
Con l’espressione “dati personali” la legge intende tutte le informazioni che identificano una persona fisica e che contribuiscono a rivelare caratteristiche, abitudini, stato di salute, relazioni personali e situazione economica.
Cosa cambia con l’introduzione del GDPR: le principali novità.
Il consenso e l’informativa sulla privacy.
Rispecchiando l’attuale normativa – il D.Lgs. 196/2003 o Codice della Privacy – il trattamento dei dati deve seguire i princìpi di liceità, correttezza e trasparenza: il consenso al trattamento per i dati sensibili dovrà essere esplicito, così come il consenso alla profilazione e ad altri trattamenti automatizzati. Se il consenso è stato raccolto precedentemente all’entrata in vigore del GDPR, in maniera lecita, corretta e trasparente, allora potrà considerarsi valido. Altrimenti, sarà necessario richiedere nuovamente il consenso al trattamento dei dati ai contatti presenti sul tuo database.
Il RDP e il Registro dei Trattamenti.
Il nuovo Regolamento introduce la figura del Responsabile della Protezione dei Dati personali (RDP o DPO dall’inglese Data Protection Officer), che avrà l’obbligo di tenere un Registro dei Trattamenti svolti e di adottare misure tecniche e organizzative per garantire la sicurezza dei dati.
Diritto di accesso ai dati, diritto all’oblio e diritto alla portabilità.
Il Titolare del trattamento dei dati è tenuto a fornire una copia dei dati in suo possesso agli interessati che ne facciano richiesta e a comunicare loro come vengono conservati. Vengono introdotti anche il cosiddetto “diritto all’oblio”, ovvero la possibilità di richiedere la cancellazione dei propri dati personali, e il diritto alla portabilità dei dati, secondo cui è possibile “spostare” il trattamento dei propri dati personali da un Titolare a un altro.
L’accountability ovvero la “responsabilizzazione”.
I Titolari e i Responsabili del trattamento dei dati dovranno impegnarsi a trattare i dati personali in loro possesso dando prova di rispettare il nuovo Regolamento:
- Configurando delle misure di sicurezza per la protezione dei dati (Data Protection by default and by design);
- Facendo una valutazione del rischio di impatto negativo sui diritti degli interessati;
- Predisponendo un registro dei trattamenti;
- Documentando eventuali violazioni di dati personali e dandone notifica all’Autorità e ai diretti interessati entro 72 ore (se la violazione comporta un rischio per gli interessati, in base alla valutazione fatta in precedenza).
Cosa sta facendo VANZOTECH per adeguarsi al GDPR?
La nostra azienda ha già recepito il nuovo Regolamento e ha stilato un documento in cui descrive la politica aziendale per la sicurezza delle informazioni. Nel documento sono elencati tutti gli adempimenti e le procedure applicate per i nostri clienti.
Clicca qui per visualizzare la politica aziendale di VANZOTECH per ottemperare al GDPR
Cosa devi fare tu per essere in regola con il GDPR?
- Verifica chi detiene i dati in tuo possesso: che tu abbia un’azienda o una associazione, se usi dei gestionali, i dati dei tuoi clienti saranno elaborati per te dall’azienda che ti fornisce il gestionale; in questo caso, dovrai assicurarti che l’azienda sia in regola con il GDPR.
- Controlla il tuo database clienti: come hai raccolto i dati? Se non sei certo di aver rispettato i principi di liceità, correttezza e trasparenza richiesti dal GDRP, richiedi nuovamente il consenso esplicito al trattamento dei dati personali attraverso una campagna di email ; chiedi ai tuoi clienti di verificare le informazioni che ti hanno lasciato e confermare le loro scelte (campagna di repermissioning).
- Nomina un DPO (Data Protection Officer) nel caso: se ritieni di non avere all’interno del tuo organico una figura adatta, rivolgiti a un esperto esterno.
- Controlla la tua Informativa per la Privacy e, se necessario, riscrivila adeguandoti alla nuova normativa.
- Chiedi una consulenza a un esperto sui temi della privacy e della protezione dei dati: un esperto potrà consigliarti sulle migliori azioni da fare per adeguare la tua azienda o la tua struttura turistica al GDPR.