GDPR: prepararsi alle ispezioni delle autorità competenti

Una rapida checklist per comprendere se la tua azienda ha delle vulnerabilità

È scaduto da un anno il termine per adeguarsi al GDPR, il regolamento europeo per il trattamento dei dati personali, e sono già cominciate le prime ispezioni delle autorità competenti (e le prime sanzioni).

Come farsi trovare preparati? Ecco una checklist che ti aiuterà a comprendere se la tua azienda ha delle vulnerabilità: come sempre, l’analisi del rischio preliminare è la via migliore che può aiutarti a comprendere se ci sono eventuali lacune da sanare. Il team di professionisti di SOL3 è a tua disposizione per un check gratuito e per guidarti in una rapida e sicura soluzione dei problemi. Contattaci per un incontro: info@soltre.it.

  1. Le informative sono in regola?

L’informativa è il cuore del GDPR: deve esserci e deve essere chiara, sintetica, specifica e completa di tutti i contenuti richiesti dalla legge e sempre consultabile anche online. Al suo interno è indispensabile che appaiano tutte le parti previste dal regolamento. Non può e non deve essere generica (non si può usare una stessa informativa per trattamenti diversi).

  1. I consensi sono stati raccolti in modo legale?

Bisogna dimostrare che il consenso al trattamento dei dati è stato raccolto con il libero consenso dell’interessato, e sia sempre riferito unicamente ai servizi ai quali è collegato. È necessario poi che il sistema di raccolta consenta anche la revoca del consenso. Fondamentale è una revisione sugli archivi per valutare se, nel corso del tempo, sono rimaste tracce di dati precedenti all’entrata in vigore del GDPR.

  1. La mia azienda deve nominare un Data Protection Officer (DPO)?

Il DPO è un consulente esperto che affianca il titolare nella gestione del trattamento dei dati personali: si occupa esclusivamente di questa materia, e negozia con le autorità in caso di sanzioni. Il DPO è obbligatorio solamente nelle pubbliche amministrazioni e nelle aziende con più di 250 dipendenti.

  1. Il registro dei trattamenti è pronto e in regola?

Il registro dei trattamenti è importantissimo: è il biglietto da visita del GDPR. Sarà quasi sicuramente il primo documento che verrà richiesto al titolare o al DPO, e per questo motivo deve sempre essere pronto per essere mostrato agli ispettori. Ci si aspetta che sia chiaro, completo e che le informazioni contenute siano veritiere.

  1. Ho elaborato una procedura chiara e precisa per la gestione degli incidenti?

È importantissimo non nascondere gli incidenti nella protezione dei dati (data breach), e anzi è fondamentale avere una chiara politica interna per la loro gestione: quali saranno le azioni che dovrò intraprendere, per esempio, in caso di phishing o smarrimento o furto dei dispositivi che contengono i dati?

  1. Chi si occupa del trattamento dati in azienda?

Chi sono i soggetti che, in azienda, trattano quotidianamente i dati? È stata data loro una formazione specifica, approfondita e verificabile, e fanno il loro lavoro con competenza e responsabilità? Non sono domande stupide perché, in caso di ispezione, devono saper rispondere a quesiti su punti specifici della norma applicate alla loro operatività quotidiana.

  1. Ci sono trattamenti che necessitano di una valutazione d’impatto?

È necessario conoscere quali siano tutti quei trattamenti particolarmente delicati che, in base al GDPR, necessitano di una valutazione di impatto (per esempio nel caso di sorveglianza e videosorveglianza). In caso di ispezione, è infatti necessario mostrare che l’azienda si è sottoposta a questo processo, e con quali risultati.

  1. Quali sono i rapporti con i responsabili esterni e i contitolari?

È essenziale verificare le misure di sicurezza dei responsabili e comprendere come gestire al meglio un soggetto a cui si mandano i dati dell’azienda, ma che non vuole essere nominato responsabile esterno. Importante è anche l’accordo di trasparenza tra i controtitolari. Entrambe queste figure, responsabile esterno e controtitolare, devono essere interpellate nell’ottica dell’interessato, perché quest’ultimo ha il diritto di sapere a chi vengono girati i suoi dati, e se anche questi soggetti li trattino con le stesse misure di sicurezza.

Queste domande permettono di comprendere se la tua azienda ha almeno un primo livello di adeguamento che può essere alla base di una strategia più raffinata, un punto di partenza per impostare i rapporti con i clienti sulla base del principio-guida di ogni organizzazione moderna, la qualità. Quando il cliente si sente al sicuro e tutelato, la sua fiducia nei confronti dell’azienda non potrà che aumentare, innescando così un circolo virtuoso.

SOL3 è a tua disposizione per guidarti in tutte le criticità del GDPR. Incontriamoci per un check gratuito: info@soltre.it.