Il GDPR, o ufficialmente, il regolamento generale sulla protezione dei dati 2016/679 entrerà in vigore il25 maggio 2018.
Per riformulare - questo significa che ora avete meno di diciannove mesi per prepararvi a quello che è il più grande cambiamento nella protezione dei dati nell'ultimo decennio. Quindi le aziende, i loro dipendenti e le loro terze parti avranno meno di diciannove mesi per prepararsi a uno sconvolgimento significativo del modo in cui conservano, gestiscono ed elaborano i dati personali.
Quindi, come azienda, come potete vedere il legno per gli alberi? Su cosa dovreste concentrarvi e se doveste classificarle in una lista di 5 priorità di cose che voi come azienda dovreste fare, quali sarebbero?
- Comprendere la portata del GDPR
- Comprendere la portata del GDPR
In termini più semplici, la differenza principale tra il precedente regolamento sulla protezione dei dati e il nuovo regolamento GDPR è l'età. Come molti dei nostri antenati, il primo è nato durante una generazione precedente, prima dell'ascesa di Internet, Facebook e Google, per esempio. Il nuovo regolamento ha una portata espansiva di vasta portata.
In primo luogo, per qualsiasi azienda che elabora i dati personali dei cittadini dell'UE o monitora il loro comportamento, o che può avere personale che opera nell'UE, sarà richiesta la conformità al GDPR. Il GDPR ha anche una portata territoriale extra e quindi, se siete un'organizzazione al di fuori dell'UE che non ha nemmeno una presenza fisica nell'UE, il GDPR può ancora applicarsi.
- Identificare l'imposizione di ulteriori obblighi
Il GDPR richiede trasparenza nel fornire informazioni agli individui riguardo al trattamento dei loro dati personali. È essenziale che le organizzazioni rivedano le loro informative sulla privacy e le loro politiche per garantire che tutte le informazioni necessarie siano fornite agli individui.
Il consenso rimane uno dei motivi per un ulteriore trattamento all'interno del nuovo regolamento, tuttavia, c'è ora una soglia più alta rispetto a prima. Data la soglia più alta, le organizzazioni devono concentrarsi sull'ottenimento di un consenso chiaro e disaggregato da parte del cliente se desiderano fare affidamento su questa giustificazione per l'elaborazione. È anche degno di nota che la prova di questo consenso è fondamentale e come tale la registrazione e la conservazione dei dati deve essere di uno standard superiore.
- Aumentare la consapevolezza dei diritti dell'interessato
Il GDPR ha introdotto alcuni nuovi e significativi diritti per gli individui riguardo ai loro dati personali. Gli interessati hanno il diritto di accedere, portare, limitare e opporsi al trattamento dei loro dati personali. Gli interessati possono anche richiedere la portabilità dei loro dati personali a loro o direttamente a un nuovo fornitore in un formato interoperabile e leggibile dalla macchina. Questo si applica quando i dati sono stati forniti dall'interessato al controllore, trattati automaticamente o trattati sulla base del consenso o dell'adempimento di un contratto. Per qualsiasi organizzazione, il diritto alla portabilità dei dati personali è un diritto che richiederà pianificazione e preparazione in modo che i vostri dipendenti possano avere a disposizione tutte le risorse necessarie per affrontare tali richieste.
- Educare, educare, educare o essere rimproverato
Sotto l'attuale direttiva sulla protezione dei dati, c'è una grande variazione tra gli Stati membri nelle sanzioni finanziarie. Al contrario, con la nuova legislazione GDPR, i poteri di applicazione saranno significativamente aumentati, comprese le multe che possono essere imposte che raggiungono il picco di 20 milioni di euro o il 4% del fatturato totale mondiale.
Date le multe sostanziali che possono essere imposte, le organizzazioni dovrebbero investire tempo e risorse per realizzare la conformità al GDPR. Questo include la formazione di tutti i vari stakeholder, dai dirigenti ai processori di terze parti che influenzano la vostra capacità di raggiungere e sostenere la conformità al GDPR.
- Affrontare il GDPR a testa alta e muoversi con urgenza
Per citare Leonardo da Vinci: "Mi ha colpito l'urgenza del fare. Sapere non basta. Dobbiamo applicare". Questo è il tipo di leadership di pensiero che le organizzazioni devono avere se vogliono affrontare il GDPR.
Una cultura della conformità è fondamentale per il successo della vostra organizzazione quando si tratta di affrontare il GDPR, la formazione del personale e politiche chiare devono essere in atto. Questo affronterà anche la necessità delle disposizioni di responsabilità del GDPR. I processi di gestione degli incidenti sulla privacy devono essere chiari e concisi e le relative politiche interne devono essere rivisitate per garantire che le violazioni dei dati siano affrontate immediatamente e attraverso il processo corretto.
Sei interessato a pianificare il tuo approccio alla conformità al GDPR il prima possibile e ad ottenere l'approvazione dei principali stakeholder della tua organizzazione?
Se hai bisogno di aiuto con il tuo progetto GDPR, abbiamo collaborato con esperti in materia per produrre GDPR for Dummies in associazione con Wiley, il marchio ufficiale Dummies. Puoi richiedere la tua copia gratuita qui.
MetaCompliance ha progettato e creato corsi di eLearning che possono aiutare la vostra organizzazione ad aumentare la consapevolezza tra i dipendenti, coinvolgendo al contempo il top management per assicurare il loro buy-in. Contatta MetaCompliance e scopri come la sua Cyber Security & eLearning Library and Awareness Services può aiutarti a costruire la conformità al GDPR nella tua organizzazione dal punto di vista della privacy e della sicurezza delle informazioni.