Domani 25 maggio 2018 entrerà ufficialmente in vigore il GDPR (General Data Protection Regulation), il nuovo Regolamento europeo sui dati, sulla privacy e sugli user content. Ci saranno severe multe per le aziende che non si atterranno strettamente alle nuove regole e molte aziende ancora non sanno quali sono le implicazioni per il loro business e non hanno tutto il necessario per essere sicuri di poter continuare a lavorare senza interruzioni.
Sono stati fatti i passi necessari per essere certi che il proprio business sia compliant al GDPR? Sizmek ha elencato 7 step essenziali per essere in linea con il nuovo Regolamento:
Step 1: Definire un fondamento legale per elaborare i dati
Se vengono raccolti e processati i dati personali dei clienti,
l’azienda necessita di un fondamento legale e legittimo, documentato per iscritto. Quando il GDPR entrerà in vigore ci saranno 6 diverse basi giuridiche che potranno essere utilizzate. Le due fondamentali per la digital adv sono:
●
Interesse legittimo: i dati personali vengono utilizzati per i propri interessi, che sono in linea con i diritti del proprietario dei dati;
●
Consenso: si ottiene l'autorizzazione libera, specifica e non ambigua da parte dell'utente.
Una volta scelte le motivazioni legali alla base dell’elaborazione dei dati per uno scopo specifico, andranno documentate in modo che possano essere rese disponibili alle autorità di regolamentazione, se necessario.
Step 2: Determinare se si è un “responsabile del trattamento dei dati” o un “incaricato del trattamento dei dati”
Quando si pensa ad essere compliant con il GDPR, è necessario
identificare il responsabile e l’incaricato in riferimento al trattamento dei dati personali. In sostanza, un "responsabile del trattamento dei dati" determina lo scopo e le motivazioni per cui vengono elaborati i dati personali. Il responsabile del trattamento dei dati è in definitiva responsabile della protezione dei dati di un utente. In molti casi, un responsabile del trattamento dei dati può interagire con un incaricato del trattamento dei dati, che è la società a cui forniscono istruzioni su come elaborare i dati personali. Un "incaricato del trattamento dei dati" fa riferimento a chiunque ottenga, registri o utilizzi successivamente tali dati per eseguire operazioni su istruzione del proprio responsabile del trattamento.
È possibile che un'azienda possa essere responsabile del trattamento dei dati in alcuni contesti e incaricato in altri. Il GDPR richiede che le società debbano identificare il ruolo che ricoprono in relazione al trattamento dei dati personali che raccolgono o elaborano, nonché i loro rapporti con altre società con cui potrebbero ricevere o condividere dati personali.
Ogni ruolo ha delle responsabilità molto specifiche ad esso collegate, con il responsabile del trattamento in ultima analisi garante della protezione dei dati personali.
Step 3: Rispondere alle richieste in merito ai diritti dei diversi soggetti
Ai sensi del GDPR,
le persone interessate hanno il diritto di accedere, rivedere, correggere ed eliminare qualsiasi dato personale raccolto ed elaborato da un responsabile del trattamento. I soggetti hanno anche il diritto di revocare il consenso che potrebbero aver già fornito per raccogliere o elaborare i loro dati. Di conseguenza, l’azienda dovrebbe disporre di procedure per rispondere e soddisfare tali richieste, e farlo rapidamente e in modo appropriato.
Step 4: Nominare un responsabile per la protezione dei dati
Le aziende che effettuano l'elaborazione di dati per un'autorità pubblica o che svolgono attività che includono l'elaborazione regolare e sistematica o processano dati sensibili su larga scala dovrebbero
nominare un responsabile della protezione dei dati (RPD). Il responsabile della protezione dei dati personali dovrebbe essere chiaramente identificato nell'informativa sulla privacy, dovrebbe disporre di esperienza nel proprio settore specifico tipo di attività, competenza in materia di diritto della privacy e governance dei dati ed essere pronto ad impegnarsi con le autorità di regolamentazione a proprio nome, se necessario. L'agente di protezione dei dati è responsabile per i problemi di tutela dei dati relativi alla propria attività in caso insorgano.
Step 5: Assicurarsi che i propri dati siano sicuri
Con l’arrivo del GDPR sono state diverse le notizie pubblicate in merito alla privacy dei dati. Finora, l'accento è stato posto sulla governance dei dati e sulla conformità con i requisiti di legge relativi alla privacy. Ma è importante ricordare che il GDPR riguarda tanto l'adozione di misure per mantenere i dati sicuri quanto la privacy.
Bisogna assicurarsi di controllare chi ha accesso ai dati, sia all'interno che all'esterno dell’azienda. È buona norma anche testare i propri sistemi in modo da sapere che i processi di sicurezza in atto siano efficaci e non possano essere aggirati da hacker, criminali informatici o altre parti che potrebbero voler accedere illegalmente alle informazioni.
Step 6: Dimostrare che la privacy sia integrata by design
Costruire "privacy by design" nei prodotti e servizi aziendali fin dall'inizio è al centro dei principi di responsabilità e trasparenza del GDPR. Sfortunatamente per molte aziende, la gestione delle informazioni o la protezione dei dati sono elementi che vengono considerati solo quando ci sono dei ripensamenti o quando qualcosa va storto. Le notizie di violazioni dei dati emergono su base settimanale, causando l'erosione della fiducia e la perdita di profitto per tali società. Assicurandosi che la riservatezza delle informazioni sia un elemento chiave per qualsiasi progetto o lancio di prodotto, un’azienda può essere più che certa di essere compliant con la nuova direttiva entrata in vigore il 25 maggio.
Step 7: Capire a fondo il significato del GDPR
Mentre molte aziende devono apportare modifiche significative al modo in cui i dati personali vengono raccolti ed elaborati con l’entrata in vigore del GDPR, è importante ricordare prima di tutto perché il nuovo regolamento è stato introdotto.
Il GDPR è inteso in primo luogo a promuovere la responsabilità e la trasparenza per le società che raccolgono e trattano dati personali, proteggendo al tempo stesso le informazioni e i diritti delle persone. Quando un’azienda definisce il suo programma per essere compliant, deve iniziare considerando questi principi per essere sicura che le sue decisioni strategiche siano quelle giuste.
Un nuovo e vivido futuro compliant al GDPR
Sulla scia delle violazioni dei dati in alcune delle più grandi aziende del mondo,
l'importanza della riservatezza e della sicurezza dei dati è diventata un elemento chiave per utenti, imprese e persino Paesi. I sette passaggi descritti qui sono utili per le aziende per soddisfare i nuovi standard del regolamento, per avere maggiori possibilità e la sicurezza di continuare a crescere in un ambiente business post-GDPR.