Dopo anni di violazioni dei dati e l’uso segreto dei dati personali da parte delle aziende tecnologiche, l’UE ha risposto con il GDPR. Disciplina e regola la raccolta e l’uso dei dati personali per i cittadini dell’UE. Questo non vale solo per le società con sede nell’UE. Si applica a qualsiasi azienda a cui i cittadini dell’UE hanno accesso, anche se l’organizzazione non commercializza direttamente ai cittadini dell’UE.
Ciò significa che la conformità al GDPR è fondamentale.
Qualsiasi azienda ritenuta non conforme sarà soggetta a pesanti sanzioni, comprese le multe. Tuttavia, in un sondaggio, un intervistato su cinque ritiene che la completa conformità al GDPR sia “impossibile”. Ciò solleva preoccupazioni significative sul fatto che un gran numero di piccole e medie imprese non siano attualmente conformi al GDPR.
Non solo questo è un grave rischio per le multe. Ma è anche palesemente falso. La conformità al GDPR è perfettamente possibile per tutte le aziende; Richiede solo che le organizzazioni vengano assolte con i requisiti.
Qui esploreremo come ogni organizzazione può essere conforme al GDPR.
Chi dovrebbe essere conforme al GDPR?
La prima area di confusione è a chi appartiene il GDPR. La risposta breve è chiunque raccolga o tratti i dati personali dei cittadini dell’UE, indipendentemente dalla posizione fisica dell’organizzazione.
Quindi, se sei un rivenditore online con sede negli Stati Uniti che vende a cittadini dell’UE, devi essere conforme al GDPR. Per evitare la conformità al GDPR, è necessario limitare l’accesso delle imprese ai cittadini dell’UE.
La checklist completa per essere conformi al GDPR
Se sei un’azienda o un’organizzazione che raccoglie dati personali, è difficile sapere come iniziare a diventare conforme. Tuttavia, l’ignoranza non sarà una difesa praticabile. Ecco perché abbiamo messo insieme una lista di controllo completa in 9 passaggi per aiutarti a diventare conforme al GDPR.
1. Quali dati raccoglierete?
Questa è la domanda fondamentale. Sapere quali dati sono necessari per fornire il servizio indicato. Ma ricorda, secondo il GDPR, dovresti raccogliere solo dati personali essenziali per lo scopo dichiarato.
Prima di raccogliere questi dati, è necessario chiedere il consenso esplicito dell’interessato. Potrebbe trattarsi del consenso scritto o della spunta di una casella. Ma devi essere in grado di dimostrare che il consenso è stato dato.
Inoltre, il consenso dovrebbe essere dato solo per uno scopo specifico. Se i dati devono essere utilizzati per più scopi, dovrebbe essere dato un consenso informato ed esplicito per ciascuno. Dovresti anche indicare chiaramente i diversi scopi. La trasparenza è uno dei principi del GDPR.
2. Per quanto tempo conserverete i dati?
Decidi per quanto tempo saranno necessarie le informazioni. Ai sensi del GDPR, i dati non possono essere conservati più a lungo del necessario. Pertanto, definire chiaramente in quale momento i dati verranno eliminati, come e perché.
Dovrai anche fornire un meccanismo attraverso il quale l’interessato possa revocare il proprio consenso. Ciò significa che dovrai eliminare i loro dati personali.
3. Come conserverete i dati?
Uno degli obiettivi fondamentali del GDPR è limitare le violazioni dei dati. Ciò significa che dovrai riflettere attentamente su come vengono archiviati i dati, assicurandoti di mantenerne l’integrità e la riservatezza.
Inoltre, ai sensi dell’articolo 33, siete tenuti a informare l’Associazione per la protezione dei dati entro 72 ore in caso di violazione dei dati. Ti verrà inoltre richiesto di informare l’interessato della violazione dei dati, elencando quali dati personali sono stati esposti.
4. Quanti anni ha la persona consenziente?
Ai sensi del GDPR, solo le persone di almeno 16 anni sono autorizzate a consentire la raccolta dei dati personali. Pertanto, se raccogli dati personali su utenti più giovani, sarai conforme al GDPR e il consenso non sarà valido.
5. Nominare un responsabile della protezione dei dati (DPO)
Secondo il GDPR, un’organizzazione deve nominare un DPO per uno dei seguenti elementi:
– Se i dati sono trattati da un’autorità pubblica
– Se i dati raccolti sono sottoposti a monitoraggio sistematico
– Se i dati raccolti vengono elaborati su larga scala
C’è chiaramente ambiguità qui, poiché il GDPR non definisce quanto sia grande la scala. Pertanto, è spesso sensato nominare un DPO per supervisionare la strategia di protezione dei dati, indipendentemente dalla portata della raccolta dei dati personali.
6. Tieni un diario GDPR
Qui, sarebbe meglio se documentassi come la tua organizzazione pratica la conformità GDPR. Ciò include la mappatura dei flussi di dati attraverso l’organizzazione, tutte le origini dati e il modo in cui si mitiga il rischio di violazioni dei dati.
Fornisce inoltre copertura nel caso in cui la tua organizzazione subisca una violazione dei dati mentre implementa il suo framework di conformità.
7. Doppio opt-in per le nuove iscrizioni alla mailing list
Sì. Per chiunque si iscriva alla tua mailing list, includi un doppio processo di opt-in. Ciò significa che devono confermare il loro consenso due volte. Il primo si verifica quando il modulo di iscrizione è completato. Il secondo consenso avviene tramite l’utente che fa clic sul link di conferma inviato automaticamente dopo la compilazione del modulo di iscrizione.
Sebbene il GDPR non specifichi le iscrizioni obbligatorie a doppio opt-in, è l’attuale standard elevato per la protezione dei dati e il consenso.
8. Scrivi o aggiorna la tua politica sulla privacy
In una politica sulla privacy, un’organizzazione dovrebbe indicare chiaramente quali dati personali vengono raccolti e come verranno utilizzati. Deve essere sempre aggiornato e disponibile sul sito Web dell’organizzazione.
9. Valutare regolarmente i rischi di terze parti
Essere conformi al GDPR non significa solo tenere in ordine la propria casa. Si riferisce anche al rischio dei dati presentato da terzi. Qui, i dati possono essere condivisi tra le organizzazioni. Ciò richiede una continua consapevolezza dei rischi per la sicurezza, con sforzi correttivi in atto.
Sebbene nessun sistema possa essere privo di rischi al 100%, la valutazione di routine dei potenziali rischi per la sicurezza è fondamentale. Ti consigliamo di registrare i tuoi risultati e le tue azioni nel diario GDPR.
Conclusione
Mantenere la conformità al GDPR può richiedere un lavoro sostanziale, ma è possibile per tutte le organizzazioni. La mancata conformità al GDPR può comportare multe equivalenti al 4% del fatturato globale annuale o a 20 milioni di euro, a seconda di quale sia il più alto.
Pertanto, la conformità al GDPR non è un’opzione; È un imperativo legale e finanziario. Per ulteriori informazioni, si rimanda al regolamento di 88 pagine stesso.
Fonti:
https://iapp.org/resources/article/iapp-ey-annual-governance-report-2018/
https://gdpr.eu/tag/gdpr/
https://www.upguard.com/blog/how-to-be-gdpr-compliant
https://www.imperosoftware.com/how-to-be-gdpr-compliant/
https://gdpr.eu/what-does-it-stand-for/