Quasi due anni sono passati dall'entrata in vigore del GDPR (General Data Protection Regulation) ma ancora molte aziende faticano ad aggiornare i propri sistemi di tutela della Privacy.
Scopri subito se la tua azienda è pronta per il GDPR
Ogni azienda è differente e, dal momento che l’approccio del GDPR (General Data Protection Regulation) si basa sul rischio nella raccolta e gestione dei dati personali, è il momento di valutare le tue Best Practice in materia di Privacy dei dati personali per evitare di subire le sanzioni che le autorità hanno già comminato a coloro che hanno tardato ad allinearsi a questo regolamento.
L'ultimo dato disponibile, di febbraio 2020, parla di oltre 160mila furti di dati sensibili e oltre 144 milioni di euro di sanzioni comminate dall'Autorità preposta.
Prima di pianificare le prossime azioni, dai un’occhiata a questa Checklist: troverai alcune delle domande più importanti da porti per assicurarti di procedere nella giusta direzione.
Il General Data Protection Regulation è il nuovo regolamento dell'Unione Europea, che sostituisce la direttiva in vigore dal 1995. In sostanza, accresce notevolmente la protezione dei dati personali dei cittadini e aumenta gli obblighi per le aziende che raccolgono ed elaborano questi dati personali.
Il GDPR è entrato in vigore il 25 maggio 2018.
- Quali dati personali raccogliamo e conserviamo in azienda?
- Li abbiamo ottenuti “onestamente”? Nel senso che, per ognuno di questi dati, abbiamo regolare consenso da parte del legittimo proprietario? E la persona in questione sa per quale scopo utilizzeremo i suoi dati?
- Siamo sicuri di non trattenere questi dati più di quanto non occorra? E di mantenerli aggiornati?
- Stiamo utilizzando un livello di sicurezza adeguato per proteggere questi dati? Per esempio, in alcuni casi è necessaria la crittografia o il ricorso a pseudonimi? L’accesso a questi dati è limitato solo a determinate persone?
- Raccogliamo e conserviamo in azienda particolari categorie di dati, come ad esempio quelli sensibili, dei bambini o dati genetici?
- Esportiamo/utilizziamo questi dati al di fuori della UE? E in tal caso, abbiamo tutti i permessi previsti dalla normativa in vigore?
Un piano per il GDPR
Il GDPR si basa sulle fondamenta del documento del 1995 ma include parecchie clausole nuove - in materia di protezione e sicurezza dei dati personali - rafforzando i diritti del singolo e le penalizzazioni per chi li viola.
Ecco dove trovare il testo del GDPR.
- Siamo perfettamente allineati col nuovo regolamento entrato in vigore?
- Siamo in grado di procedere ad un’accurata valutazione del rischio legato alla protezione dei dati per la nostra azienda?
-
O dovremmo rivolgerci a professionisti del settore per evitare di incorrere in multe salatissime?
Il GDPR è valido anche per le aziende svizzere?
Lo diciamo subito. Per il 99% dei casi sì. Quali sono le aziende che devono uniformarsi al nuovo regolamento in materia di protezione dei dati? Mentre la direttiva del 1995 riguardava le aziende all'interno dell'UE, con il GDPR anche i business al di fuori dell'Unione Europea devono adeguarsi alla normativa.
Due i casi: o commercializzi i tuoi prodotti a cittadini europei o monitori il loro comportamento, per vendere i tuoi servizi.
- Abbiamo predisposto delle linee guida per il personale interno che si occupa di sicurezza? Siamo certi che sappia come procedere esattamente nel trattamento dei dati personali?
- Abbiamo attuato tutte le procedure necessarie per modificare, fornire l'accesso o cancellare i dati, nel momento in cui il legittimo proprietario lo richiede? (Ovviamente, essendo certi che queste procedure rispettino le nuove direttive della GDPR).
- E in caso di violazione dei dati? Abbiamo predisposto notifiche inviate dal sistema di sicurezza e allerte?
Brevemente. Le aziende svizzere che abbiano filiali nell'Unione Europea o che si rivolgano a potenziali clienti residenti in Paesi dell'Unione Europea per vendere i propri prodotti o servizi devono essere allineati al GDPR, pena una sanzione fino al 4% del fatturato annuale.
Per non essere soggetto al GDPR un hotel, per esempio, dovrebbe dimostrare di rivolgersi solo a clientela svizzera, il che - data anche la natura del servizio in questione - appare difficile.
Documentazione
I cambiamenti più importanti che il GDPR introduce, riguardano i diritti dell'individuo, le procedure interne, l'autorità di vigilanza, responsabilità e penalizzazioni.
La tua azienda necessita di tool gestionali aggiornati e documentazione in linea con le nuove disposizioni.
- Abbiamo una Privacy Policy aziendale? Ha bisogno di aggiornamenti per allinearsi alle direttive del GDPR?
- La Privacy Policy contempla differenti tipi di dati, come ad esempio quelli che provengono dai consumatori, dai Prospect dai fornitori o che riguardano il personale? È conforme al GDPR?
- Le nostre procedure interne sono adeguatamente documentate?
- Se abbiamo un processore dei dati, abbiamo verificato che sia aggiornato e che tutti i contratti rispettino le clausole previste dall' Art. 28 della GDPR?
Disclaimer: Questo sito non è una fonte ufficiale UE né rappresenta una consulenza legale per la tua azienda. Lo scopo di questo articolo è fornire un background informativo per aiutarti a comprendere meglio se la tua azienda ha curato ogni aspetto della tutela della Privacy come da regolamento entrato in vigore il 28 maggio 2018.
Queste informazioni pertanto non sostituiscono in alcun modo una consulenza con un avvocato in grado di orientare al meglio le azioni specifiche per la tua attività imprenditoriale.
Ciò che offriamo non è un parere legale bensì gli strumenti per attuare le linee guida che riceverai durante la consulenza legale.