7 cose da sapere per essere conformi al GDPR

1. Verificare le basi di liceità

È necessario iniziare assicurandosi di disporre di tutte le autorizzazioni legali che consentono il trattamento delle informazioni personali. Questo include, ma non è limitato, a:

  • Ottenere il consenso degli utenti per l’utilizzo dei dati personali;
  • Adempiere agli obblighi contrattuali con i clienti;
  • Rispettare gli altri obblighi legali a cui si è soggetti.

2. Conformarsi ai requisiti di trattamento dei dati

Il Regolamento generale sulla protezione dei dati (GDPR) impone requisiti stringenti per il trattamento dei dati personali e stabilisce che i dati devono essere:

  • Trattati in modo lecito, equo e trasparente;
  • Raccolti per scopi legittimi specifici e non ulteriormente trattati in modo incompatibile con tali scopi;
  • Adeguati, pertinenti e limitati a quanto necessario in relazione agli scopi per i quali sono trattati;
  • Accurati e aggiornati;
  • Memorizzati per non più del necessario per gli scopi per i quali sono trattati;
  • Trattati in modo tale da garantire un’adeguata sicurezza, prevenendo la perdita e la violazione dei dati.

3. Ottenere il consenso dei consumatori

Le condizioni per ottenere il consenso sono diventate più severe, in quanto l’interessato ha il diritto di revocare il consenso in qualsiasi momento. Inoltre, nel caso in cui  i dati sono oggetto di trattamento da parte di attività diverse dello stesso titolare del trattamento, il consenso non è valido se non si ottengono consensi separati per le diverse attività di trattamento. Ciò significa che si deve fornire la prova che il consumatore ha accettato una determinata azione.

A tal fine si deve tenere presente che:

  • Il consenso deve essere specifico per ogni utilizzo e/o attività di elaborazione e separato dai termini e condizioni di registrazione;
  • Il silenzio, le caselle pre-barrate o l’inattività non costituiscono consenso; gli utenti devono esplicitamente optare per l’archiviazione, l’uso e l’elaborazione dei propri dati personali;
  • Nel caso in cui i servizi siano forniti ai minori (di età inferiore ai 14 anni), il trattamento dei dati personali sarà lecito solo se il consenso è fornito dai genitori.

4. Garantire i diritti di gestione dei dati agli utenti

Il GDPR offre agli interessati il diritto di gestire i loro dati personali. È obbligatorio per ogni azienda assicurarsi di fornire i seguenti diritti agli utenti:

  • Il diritto all’oblio: il consumatore può richiedere che un’organizzazione cancelli tutti i suoi dati personali senza indebito ritardo;
  • Il diritto a opporsi: il consumatore può vietare l’uso di determinati dati;
  • Il diritto di rettifica: il consumatore può richiedere che vengano completati i dati incompleti sul proprio profilo o che vengano corretti i dati errati;
  • Il diritto di accesso: il consumatore ha il diritto di sapere quali dati vengono elaborati e in che modo;
  • Il diritto di portabilità: il consumatore può scaricare i propri dati personali trattenuti da un’azienda e trasportarli a un’altra.

5. Garantire la sicurezza dei dati personali

Il GDPR richiede l’adozione di misure tecniche e organizzative pertinenti per garantire un livello appropriato di sicurezza che protegga i dati personali durante il trattamento. Ecco alcune misure di sicurezza suggerite dal GDPR:

  • La pseudonimizzazione e crittografia dei dati personali;
  • Tracciamento di tutte le attività di trattamenti di dati (Registro delle attività di trattamento);
  • Trasmissione dei dati solo tramite protocolli sicuri (HTTPS, TLS);
  • Ulteriori misure di sicurezza come l’AMF;
  • La minimizzazione dei dati per garantire che i dati personali non richiesti per una specifica attività di elaborazione non vengano raccolti o elaborati;
  • Cancellazione dei dati quando non più necessari.

6. Informare della violazione dei dati personali

In caso di una violazione dei dati che comporti un rischio significativo per i diritti o le libertà personali degli utenti, sarà necessario:

  • Avvisare ogni utente i cui dati sono stati violati;
  • Informare il Garante Privacy entro 72 ore dall’avvenuta conoscenza della violazione.

7. Rispettare il principio di “Privacy by Design”

“Privacy by Design” e “Privacy by default (per impostazione predefinita)” non sono termini nuovi. Il GDPR riconosce questo diritto e richiede alle aziende di considerare il trattamento dei dati in tutte le fasi del processo di sviluppo di prodotti, processi o servizi che implicano l’elaborazione di dati personali.

Da dove iniziare?

Inizia con il conoscere e l’approfondire come implementare il GDPR nella tua azienda: partecipa ai nostri corsi online di formazione per conoscere a fondo il Regolamento e per imparare come mettere in atto un progetto di conformità al Regolamento nella tua azienda.

Impara dagli esperti di GDPR e diventa tu stesso un esperto

Iscriviti subito!

Leave a Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.