gdpr compliance- checklist
Condividi questo articolo:
Privacy

GDPR compliance: come essere in regola con il GDPR

La Commissione Europea il 27 Aprile 2016, come noto, ha presentato un Regolamento per l’aggiornamento della normativa concernente il trattamento dei dati personali e la libera circolazione dei dati (c.d. “GDPR”).
La nuova regolamentazione è intervenuta in maniera significativa sull’assetto realizzato dal D. lgs. del 30 giugno 2003 n. 196, recante il cosiddetto “Codice della privacy”, difatti in fase di adeguamento, avvenuto con d. lgs. n. 101 del 2018, sono stati abrogati gran parte degli articoli che costituivano la prima parte del d. lgs. n. 196 del 2003.
Si tratta di una normativa impostata sul sistema dell’accountability, ovvero un sistema di responsabilizzazione del Titolare del trattamento, il quale individua la tipologia di trattamento che si intende eseguire, le misure di sicurezza più idonee per l’esecuzione del trattamento e, conseguentemente, adotta tutti gli strumenti che ritiene più idonei a consentire la migliore tutela del dato personale.
Questa impostazione fa sì che qualsiasi Titolare del trattamento, anche con riferimento alle piccole e medie imprese (PMI), dovrà farsi carico di individuare il sistema degli adempimenti più idoneo a mettere in regola la propria azienda per essere compliant al GDPR.

GDPR Compliance significato

La nostra azienda si occupa di aiutare le aziende al rispetto della normativa vigente in materia di protezione dei dati personali, ovvero ci occupiamo della compliance dei nostri clienti.

Per essere GDPR compliant, ovvero rispettare la normativa prevista dal GDPR, a prescindere dalle dimensioni dell’impresa, qualsiasi Titolare del trattamento dovrà mettersi nella prospettiva di valutare il tipo di trattamento che intende porre in essere e, soprattutto, capire se la struttura tecnica e organizzativa predisposta finalizzata alla tutela dei dati possa ritenersi conforme al regolamento.

In particolare, il GDPR attribuisce al Titolare del trattamento il compito di eseguire una valutazione preliminare sull’impatto in termini di pericolo e di rischio cui è esposto il trattamento che deve eseguire e le eventuali ricadute in termini di violazione delle misure tecniche ed organizzative di protezione dei dati predisposte: si tratta della c.d. Data Protection Impact Assessment (DPIA).

Tale valutazione non è obbligatoria secondo la lettera del Regolamento, ma è necessaria quando la tipologia di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche o quando il trattamento si è effettuato su larga scala di categoria di dati o, ancora, allorquando vi sia la sorveglianza sistematica su larga scala di zona accessibile al pubblico (v. art. 35 GDPR).

Sarà onere del Titolare del Trattamento dimostrare (e documentare) di aver adottato tutte le misure adeguate per garantire la sicurezza dei dati trattati.
In questo senso, sicuramente, l’attenzione del Titolare del trattamento dovrà essere rivolta al rispetto dei principi generali previsti dal GDPR. La concreta applicazione di questi principi rappresenterà, infatti, la prova, che il titolare del trattamento ha rispettato le previsioni imposte dal GDPR.

La conformità al GDPR è un requisito fondamentale per tutte le organizzazioni che trattano dati personali di cittadini dell’UE o che operano all’interno dell’UE, indipendentemente dalla loro sede principale. Non conformarsi al GDPR può comportare aspre sanzioni e danni alla reputazione dell’azienda.

Quando si usa Compliance e quando Compliant

Con l’occasione di questo articolo, mi piacerebbe chiarire la differenza ed il corretto uso dell’aggettivo “compliant” e del sostantivo “compliance”.

Cosa vuol dire Compliant?

Compliant si riferisce a qualcuno o a qualcosa quando risulta “aderente” a qualcosa.

Quando si usa Compliant?

Lo usiamo per affermare che si è aderenti al GDPR e quindi si può dire che si è “GDPR compliant”, ovvero, “conformi al GDPR”.

Cosa vuol dire Compliance?

Compliance si riferisce all’aderenza alla “conformità” di qualcuno a qualcosa. In questo caso di solito si dice “io curo la compliance aziendale” o “io sono la conformità aziendale” riferendosi al rispetto di determinate norme da parte di un’organizzazione.

Quando si usa Compliance?

SI usa compliance per indicare l'”aderenza”, in generale ad esempio di un’organizzazione al GDPR.

Riporto di seguito un semplice schema:

  • Compliant = aderente = conforme
  • Compliance = aderenza = conformità

Come è facile vedere, i due termini vogliono dire la stessa cosa, ma si usano diversamente in base al senso della frase. Per i sinonimi non c’è differenza, dipende dall’abuso che a volte si tende a fare di termini anglofoni.

Checklist GDPR

Offrono soccorso al Titolare le c.d. checklist GDPR ai fini della verifica della conformità normativa al GDPR.
Una checklist GDPR è una lista di controllo predisposta per i Titolari del trattamento che mira a verificare, riassumendo in forma interrogativa i principi e le regole base del GDPR, lo stato della compliance aziendale.
Ogni risposta negativa ad uno dei quesiti denota un possibile profilo critico dal punto di vista della protezione dei dati personali.

I principali punti da analizzare attengono, in sintesi, a:

  1. i soggetti che effettuano il trattamento (è stata effettuata una DPIA, sono state predisposte e sottoscritte le nomine di autorizzato o responsabile, sono state fornite le istruzioni, è correttamente tenuto e aggiornato il Registro dei trattamenti, etc…);
  2. l’informativa (sono state predisposte e sono facilmente accessibili le informative)
  3. il consenso dell’interessato (è stato validamente raccolto il consenso degli interessati);
  4. la sicurezza dei dati (sono state adottate le misure minime di sicurezza…);
  5. il trasferimento dei dati in paesi terzi (i trasferimenti di dati personali al di fuori dell’UE siano adeguatamente regolamentati);
  6. i doveri del Titolare del trattamento in caso di esercizio dei diritti degli interessati (art. 7 GDPR);

È, inoltre, opportuno verificare che tutto il personale sia adeguatamente formato, ed è onere del Titolare organizzare audit per la verifica delle modalità di trattamento dei dati, stabilire procedure per rilevare e segnalare una violazione dei dati personali, ed in genere documentare tutte le misure adottate per conformità al GDPR, compresi i processi interni, le politiche e le procedure.

Faq

Cosa vuol dire GDPR compliant?

Essere “GDPR compliant” significa essere conforme al Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea, rispettando tutte le disposizioni e i requisiti per garantire un trattamento legale, trasparente e sicuro dei dati personali.

Cosa prevede il GDPR?

Il GDPR (Regolamento Generale sulla Protezione dei Dati) prevede norme volte a proteggere la privacy e i diritti delle persone in relazione al trattamento dei loro dati personali. Include disposizioni riguardanti la raccolta, il trattamento, la conservazione e la sicurezza dei dati personali, nonché l’attribuzione di diritti agli individui, come il diritto all’informazione, all’accesso, alla rettifica e alla cancellazione dei propri dati. Il GDPR impone anche obblighi alle organizzazioni che trattano dati personali, inclusa la notifica delle violazioni dei dati e la nomina di un Responsabile della Protezione dei Dati (DPO).

Quali sono gli adempimenti del GDPR?

Gli adempimenti principali del GDPR includono:

  • Ottenere il consenso valido per il trattamento dei dati personali;
  • Proteggere i dati personali da accessi non autorizzati o perdite;
  • Rispettare i diritti degli individui sui propri dati, come l’accesso, la rettifica e l’oblio;
  • Condurre valutazioni dell’impatto sulla protezione dei dati (DPIA) quando necessario;
  • Notificare le violazioni dei dati personali alle autorità competenti e agli interessati;
  • Designare un Responsabile della Protezione dei Dati (DPO) se richiesto;
  • Integrare principi di protezione dei dati fin dalla progettazione (Privacy by Design) e per impostazione predefinita (Privacy by Default); Documentare le politiche, le procedure e le misure di sicurezza adottate per garantire la conformità al GDPR.

Quali sono i sette principi fondamentali del GDPR?

I sette principi fondamentali del GDPR sono:

  • Liceità, correttezza e trasparenza nel trattamento dei dati;
  • minimizzazione dei dati;
  • esattezza delle informazioni;
  • limitazione della conservazione dei dati;
  • protezione della riservatezza, integrità e riservatezza dei dati;
  • Accountability e risk based approach;
  • Privacy by design e privacy by default.