Home>News>Approfondimenti>Prepararsi al GDPR: 12 passi da fare ora

Prepararsi al GDPR: 12 passi da fare ora

il team di Privacy.it

Pubblicato in data 26-04-2017

Non manca molto al giorno in cui il modo di gestire la privacy sarà rivoluzionato dall’avvento del nuovo Regolamento Generale sulla Protezione dei Dati Personali – GDPR. C’è chi ancora non ci ha pensato, chi ha rimandato la presa in carico della questione per non disperdere energie anticipatamente, chi si è mosso ma solo parzialmente. Per tutti questi è arrivato il momento di prendere l’agenda in mano, appuntare un segno di massima priorità ed incominciare a schedulare un piano per essere in regola in tempo utile.

Non ci saranno periodi di “quiescenza e perdono” come avvenuto in passato. Il testo del GDPR è stato pubblicato il 4 maggio 2016 e quel giorno si diede appuntamento a tutti al 25 maggio 2018: più di 48 mesi per prepararsi. E, considerato il peso delle nuove sanzioni introdotte, ci si renderà conto che è arrivato il momento di fare sul serio e senza ulteriori indugi.

Per questo vi proponiamo una roadmap semplice e schematica su tutto quello che, fin da oggi, deve essere oggetto della vostra massima attenzione per poter arrivare al 25 maggio 2018 con – più che le carte – le procedure in regola. I più ferrati dovranno perdonare la brevità di alcuni passaggi su questioni ad alta complessità, ma questo vuole essere un documento di “visualizzazione rapida” della portata del cambiamento e, di conseguenza, uno strumento per aiutare chi legge a prefigurarsi quante e quali implicazioni dovranno essere fronteggiate nel proprio contesto operativo.

Ecco quindi i 12 passi corredati da quello che possiamo fare per voi (d’altro canto aiutarvi è la nostra professione).

Step 1 – Consapevolezza del cambiamento

  • Cosa cambia: il GDPR apporterà significative modifiche alle regole di privacy cui siamo abituati. Quanti decision maker della vostra struttura ne sono davvero consapevoli?
  • Cosa bisogna fare: rendere noti i punti fondamentali della riforma a coloro che hanno budget e potere decisionale nonché ai ruoli chiave della vostra organizzazione.
  • Come possiamo aiutarvi: illustreremo le novità in modo sintetico e, soprattutto, mirato sul vostro modo di fare business. Valuteremo insieme implicazioni operative, rischi ed opportunità per permettervi di delineare un piano di compliance chiaro e consapevole. Sarà il primo passo verso quella “auto-responsabilizzazione” che è il criterio ispiratore della nuova disciplina.

Step 2 – Self-screening dei trattamenti di dati

  • Cosa cambia: è richiesta la piena consapevolezza su quanti e quali trattamenti sono svolti, attingendo a quali banche dati, con quali presidi di sicurezza.
  • Cosa bisogna fare: produzione di documentazione descrittiva di tutti i processi di trattamento con dettaglio di tipo di dati e finalità, categoria di interessati, origine e destinazione dei dati, funzioni autorizzate all’accesso, terzi intervenienti, termini di conservazione, misure di sicurezza, e altro ancora.
  • Come possiamo aiutarvi: eseguiremo audit sui processi, valuteremo che siano conformi alle regole (gap assessment, risk assessment e remediation plan). E appronteremo il vostro Registro dei trattamenti.

Step 3 – Accountability, incorporare il principio cardine del GDPR

  • Cosa cambia: occorre poter dimostrare l’adeguatezza dei propri processi di compliance; sarà il primo parametro di misura delle nuove temibili sanzioni.
  • Cosa bisogna fare: impostare una politica di gestione della privacy, responsabile, adeguata e documentabile.
  • Come possiamo aiutarvi: progetteremo e implementeremo insieme un sistema di privacy management preciso, sostenibile e delineato con chiarezza in policy e procedure armoniche con i vostri modelli gestionali.

Step 4 – Revisione delle informative

  • Cosa cambia: rispetto al passato, non solo più informazioni agli interessati (ad es., quanto teniamo i loro dati), ma anche nuove regole su modalità di redazione e conferimento.
  • Cosa bisogna fare: adeguare, previo loro riesame, informative e relativi processi di conferimento.
  • Come possiamo aiutarvi: eseguiremo un gap assessment di informative e privacy policy, le metteremo a norma e affideremo a regole chiare ownership e modalità dei processi di aggiornamento e conferimento.

Step 5 – Garantire agli interessati un agevole esercizio dei propri diritti di privacy

  • Cosa cambia: i diritti sono rafforzati ed ampliati (ad es., data portability).
  • Cosa bisogna fare: acquisire consapevolezza dei diritti altrui e rivedere le procedure di risposta.
  • Come possiamo aiutarvi: vi supporteremo nella redazione di procedure semplici, solide ed affidabili per la pronta ricezione ed evasione delle richieste

Step 6 – Identificare i fondamenti di liceità di ciascun trattamento

  • Cosa cambia: le legal basis su cui si fondano i trattamenti devono essere lecite ed esplicitate nell’informativa da rendere agli interessati.
  • Cosa bisogna fare: esaminare i presupposti di liceità di ogni attività di trattamento.
  • Come possiamo aiutarvi: identificheremo, valuteremo i fondamenti di liceità di ciascun processo sui dati e li riverseremo negli opportuni output documentali (ad es., informative e Registro dei trattamenti) .

Step 7 – Consenso, un nuovo approccio

  • Cosa cambia: cambiano diversi principi (ad es., su dati sensibili, trattamenti automatizzati, minori) e si impone la registrazione del consenso perché il Titolare dovrà dimostrare che gli è stato reso.
  • Cosa bisogna fare: rivedere i metodi di ricerca, raccolta e annotazione dei consensi.
  • Come possiamo aiutarvi: verificheremo i sistemi/processi di reperimento e di registrazione utilizzati e li metteremo a norma.

Step 8 – Filiera di trattamento sotto controllo

  • Cosa cambia: molto più stringente la disciplina sulla nomina a responsabile degli outsourcer; viene inoltre introdotta la figura del sub-responsabile.
  • Cosa bisogna fare: verificare che i fornitori rendano “garanzie sufficienti” e rivedere profondamente la contrattualistica.
  • Come possiamo aiutarvi: rivedremo accuratamente i contratti che regolano i vostri rapporti con i fornitori ad impatto privacy. Se necessario, vi aiuteremo a comprendere i livelli di compliance da essi garantiti e a coinvolgerli in un sistema di alert per la gestione delle criticità.

Step 9 – Data breach, pronti all’azione

  • Cosa cambia: il GDPR amplia il novero dei business obbligati a notificare immediatamente, pena sanzioni elevate, alle Autorità e agli interessati i casi di data breach (violazione dei dati).
  • Cosa bisogna fare: implementare monitoraggio dei sistemi critici e procedure di gestione in caso di evento.
  • Come possiamo aiutarvi: faremo in modo che la vostra organizzazione sappia esattamente cosa fare (individuazione, indagine, report, notifica) in caso di data breach.

Step 10 – Data protection by default, by design e data protection impact assessment

  • Cosa cambia: qualsiasi mezzo o attività di trattamento dovrà essere conforme ai principi di Data Protection by Deafult e by Design. Dovrà, inoltre, essere eseguito un Data Protection Impact Assessment (DPIA) nelle situazioni ad alto rischio per i dati o i diritti degli interessati
  • Cosa bisogna fare: valutare la rispondenza ai criteri di data minimization sull’esistente e prepararsi ad applicarla al futuro; capire quando sia necessario un DPIA e prepararsi ad eseguirlo.
  • Come possiamo aiutarvi: vi affideremo a poche regole per sviluppare in voi un’attitudine naturale al DP by Design; diverrà il primo degli anticorpi rispetto ai rischi di privacy. Vi aiuteremo ad individuare eventuali attività o progetti di attività ad alto rischio e condurremo DPIA restituendovi evidenze chiare quanto utili alle vostre valutazioni finali su costi, rischi e benefici.

Step 11 – Data Protection Officer, una nuova figura da scegliere con attenzione

  • Cosa cambia: figura obbligatoria per PA, aziende che monitorano dati su larga scala o trattano dati sensibili su larga scala. Figura che può essere comunque presa in considerazione, come naturale estensione del principio di accountability, dalle strutture non obbligate ma di media/grande complessità.
  • Cosa bisogna fare: comprendere skill e requisiti richiesti. Valutare se si dispone in organico di una figura in grado di ricoprire/sostenere il ruolo. Oppure valutare l’assunzione di un DPO. Oppure stipulare contratto con un DPO esterno.
  • Come possiamo aiutarvi: vi aiuteremo a fare la scelta giusta; valuteremo la sussistenza nel candidato degli stringenti requisiti richiesti dal GDPR (al di là di certificazioni facoltative e che poco raccontano della reale capacità di un soggetto destinato ad un ruolo chiave); o magari – se la vostra stima sarà tale da chiedercelo e se noi avremo disponibilità – sarà qualcuno di noi il vostro nuovo DPO.

Step 12 – Regolamentare i data transfer

  • Cosa cambia: se i dati sono trasferiti fuori dall’ambito comunitario verso Paesi non adeguati, il GDPR richiede che i flussi siano scrupolosamente regolamentati.
  • Cosa bisogna fare: verificare l’adeguatezza degli strumenti di legittimazione dei trasferimenti alla luce delle nuove regole.
  • Come possiamo aiutarti: riesamineremo gli output di dati e forniremo assistenza alla stesura di Standard Contract Clauses, Binding Corporate Rules o altri presupposti di legittimazione. E vi aiuteremo ad appurare che tutta la filiera di cui vi avvalete sia in linea con i vostri livelli di compliance.
2017-09-26T09:51:43+00:00 26 aprile 2017|Approfondimenti|