La maggior parte di noi che operano in aziende che trattano dati personali sono ormai consapevoli della bomba che è il "GDPR". Questo tanto atteso regolamento sulla protezione dei dati entrerà in vigore tra soli dodici mesi, il 25 maggio 2018. Per molte organizzazioni, c'è una grande domanda su come iniziare al meglio una campagna di preparazione al GDPR e su quali aree chiave concentrarsi. Può sembrare un compito scoraggiante considerando che le conseguenze del mancato rispetto dei requisiti sono così gravi: si tratta di multe fino al valore di 20 milioni di euro o il 4% del fatturato annuo globale.
Ma non temete! Abbiamo creato una guida rapida che contiene le cinque principali sfide che molte aziende devono affrontare quando iniziano una campagna GDPR, completa di consigli su come superarle al meglio.
1. Creare la consapevolezza del GDPR in tutta l'organizzazione
Il nostro consiglio: Coinvolgete gli attori chiave e costruite un piano di sensibilizzazione.
Come dice il vecchio detto: Se non ti prepari, ti prepari a fallire. Assicuratevi che i decisori e i principali stakeholder della vostra organizzazione siano consapevoli che la legge sta cambiando e garantite l'adesione a livello senior. Sarà di grande beneficio per voi avere uno sponsor esecutivo il cui compito sarà quello di sostenere la campagna e garantire che si svolga senza problemi.
Per dare il via al vostro progetto GDPR vi consigliamo anche di iniziare a guardare il registro dei rischi della vostra organizzazione, se ne avete uno. In caso contrario, sarà uno strumento utile da compilare quando inizierete il vostro viaggio nel GDPR.
Ricordate che il tempo è essenziale. Iniziate il prima possibile per evitare qualsiasi panico dell'ultimo minuto e usate l'anno successivo per aumentare la consapevolezza dei cambiamenti che stanno arrivando. Il nostro corso eLearning GDPR è un ottimo punto di partenza per creare consapevolezza tra i vostri dipendenti.
2. Valutare gli attuali metodi di trattamento dei dati e adattarli per soddisfare le aspettative del GDPR
Il nostro consiglio: Iniziate identificando e annotando quali dati personali detenete, da dove provengono e con chi li condividete. Inoltre, documentate qualsiasi misura di conformità già in atto.
Raccomandiamo di condurre una verifica delle informazioni. Per esempio, se avete dati personali imprecisi e li avete condivisi con un'altra organizzazione, dovrete informare l'altra organizzazione in modo che possa modificare i propri dati. Quindi sapere quali informazioni detenete e per quale scopo le state usando è fondamentale. È anche importante tenere traccia delle modifiche apportate a qualsiasi attività di trattamento dei dati per raggiungere la conformità al GDPR. Fare ciò vi aiuterà a dimostrare la conformità con il principio di responsabilità del GDPR.
3. Nomina di un responsabile della protezione dei dati
Il nostro consiglio: Determinate se la nomina di un DPO è un requisito obbligatorio, o auspicabile, per la vostra organizzazione. Idealmente, qualcuno dovrebbe essere identificato per assumersi la responsabilità della conformità alla protezione dei dati, considerando che il rischio di una violazione secondo il GDPR comporta una multa così pesante.
Le organizzazioni che avranno bisogno di nominare un DPO includono le autorità pubbliche e quelle le cui attività comportano il monitoraggio regolare e sistematico degli interessati su larga scala. È importante garantire che qualcuno nella vostra organizzazione, o un consulente esterno per la protezione dei dati, si assuma la piena responsabilità della vostra conformità alla protezione dei dati. Le qualità chiave necessarie per il ruolo includono la conoscenza, il supporto e l'autorità per gestire efficacemente la protezione dei dati.
È anche consigliabile definire un quadro di comunicazione non appena avete nominato il vostro DPO. Questo dovrebbe identificare chi riferirà a chi e dove questo ruolo si troverà all'interno della struttura della vostra organizzazione per evitare qualsiasi confusione.
4. Implementare nuovi metodi di elaborazione dei dati
Il nostro consiglio: Documentate e implementate nuove politiche e procedure di conformità e formate il vostro team di elaborazione dei dati in conformità con queste nuove misure. Rivedere tutti i contratti e i consensi esistenti e aggiornarli in conformità con il GDPR.
Questi devono considerare i cambiamenti chiave tra cui le informazioni sulla privacy, i diritti individuali rafforzati e le richieste di accesso al soggetto, nonché il consenso.
Esaminate le vostre attuali informative sulla privacy e create un piano per apportare le modifiche necessarie in tempo per l'attuazione del GDPR.
Controllate le vostre procedure per assicurarvi che coprano tutti i nuovi diritti rafforzati che gli individui hanno secondo il GDPR, compreso il modo in cui cancellereste i dati personali o fornireste i dati elettronicamente e in un formato comunemente usato.
Aggiornate le vostre procedure e pianificate come gestire le richieste di accesso al soggetto entro il nuovo termine di un mese.
Rivedere come state cercando, ottenendo e registrando il consenso e se avete bisogno di fare qualche cambiamento. Ricordatevi di documentare tutte le modifiche apportate. Inoltre, tieni presente che il GDPR cambierà anche il modo in cui verranno trattati i dati personali dei bambini. È consigliabile iniziare a pensare ora a quali sistemi mettere in atto per verificare l'età degli individui e per raccogliere il consenso dei genitori o dei tutori per l'attività di trattamento dei dati.
5. Identificare e capire come affrontare una violazione dei dati
Il nostro consiglio: Avere in atto chiare procedure di notifica della violazione dei dati che vi permettano di rilevare e segnalare la violazione entro le nuove 72 ore.
Creare un registro interno di violazione dei dati per registrare e tracciare le indagini su qualsiasi violazione che si verifica. È anche importante valutare quali sono i dati in vostro possesso che richiedono una notifica in caso di violazione.
Assicuratevi che i vostri partner e fornitori siano chiari sulle loro responsabilità nel fornirvi la notifica di tutte le violazioni potenziali e confermate da parte loro.
Ancora sopraffatto? Niente panico! C'è ancora tempo per tenere sotto controllo il tuo programma GDPR. Perché non fissare un colloquio con i nostri esperti del settore e scoprire i vantaggi che il nostro nuovo prodotto "MetaPrivacy" vi fornirà nel preparare la vostra organizzazione alla conformità al GDPR. Abbiamo anche due corsi eLearning GDPR disponibili per educare il nostro staff e aiutare la vostra campagna di sensibilizzazione GDPR.
