Le organizzazioni di tutto il mondo tireranno presto un sospiro di sollievo collettivo quando l'imminente scadenza del GDPR entrerà finalmente in vigore. In questo post, abbiamo una lista di controllo GDPR per il
Dopo tutta la pianificazione e i preparativi che hanno avuto luogo negli ultimi due anni, il GDPR entrerà ufficialmente in vigore il 25 maggio e revisionerà completamente le attuali regole di protezione dei dati, dando ai cittadini dell'UE un maggiore controllo sui loro dati.
C'è stato un sacco di rimescolamento dell'ultimo minuto mentre le aziende si affrettano ad assicurarsi di essere conformi al nuovo regolamento e di non essere responsabili delle grandi multe che saranno imposte come risultato della non conformità. Ci sarà un certo numero di organizzazioni che si sono prese il tempo per lavorare metodicamente attraverso la loro pianificazione GDPR e altre che hanno lasciato tutto all'ultimo minuto.
Indipendentemente dalla fase in cui ti trovi nel tuo viaggio verso il GDPR, la nostra lista di controllo finale ti fornirà alcune linee guida su ciò che devi fare per assicurarti di essere pronto per i cambiamenti imminenti e i passi che devi fare per dimostrare la conformità in futuro.
1. Identificare tutti i dati personali in suo possesso
L'UE definisce i "dati personali" come qualsiasi informazione che può essere utilizzata per identificare direttamente o indirettamente un individuo (soggetto dei dati). Questo include tutto, dal nome, all'indirizzo e-mail, all'indirizzo IP e alle immagini. Include anche i dati personali sensibili come i dati biometrici o i dati genetici che potrebbero essere trattati per identificare un individuo.
Se la vostra organizzazione gestisce i dati dei cittadini europei, dovrete completare un audit e scoprirlo:
- Quali dati vengono raccolti?
- Da dove provengono i dati?
- Perché i dati vengono raccolti?
- Come viene elaborato?
- Chi ha accesso?
- Per quanto tempo vengono conservati i dati?
- Dove vengono trasferiti i dati?
- Tutti i dati sono necessari?
2. Educare i tuoi gestori di dati personali
Un responsabile dei dati personali è chiunque all'interno della vostra organizzazione sia autorizzato a gestire e trattare i dati personali. Le responsabilità sono spesso assegnate su base dipartimentale. Idealmente, ogni linea di business avrà un Data Privacy Champion, qualcuno che comprenderà la gestione dei dati personali, l'elaborazione e le pratiche di privacy. La nomina di un responsabile dei dati personali aiuterà a facilitare la conformità all'interno della vostra organizzazione.
3. Comprendere il consenso del soggetto dei dati
Il GDPR specifica che ci deve essere un consenso esplicito da parte dell'utente. Questo consenso deve essere registrato per i processi di reporting e auditing. Se il trattamento si basa sul consenso dell'interessato, questi può ritirarlo in qualsiasi momento. Ha anche il diritto di sapere per quanto tempo i suoi dati personali saranno conservati per l'elaborazione futura. Se la vostra organizzazione tratta i dati di soggetti minorenni, dovete assicurarvi di avere sistemi adeguati per verificare l'età individuale e ottenere il consenso dei tutori.
Gli interessati dovrebbero ricevere notifiche chiare e facili da capire. Dovrebbero anche avere il diritto di sapere quali garanzie sono in atto per proteggere i loro dati personali e se terze parti sono coinvolte nel trattamento dei loro dati.
4. Aggiornare le procedure per il trattamento delle richieste degli interessati
Le organizzazioni devono avere processi in atto per accogliere le richieste degli interessati. Gli interessati devono poter esercitare i loro diritti gratuitamente e le organizzazioni devono adempiere entro un mese dal ricevimento della richiesta, o con un'estensione massima di due mesi a seconda della complessità e del numero di richieste.
5. Piano per l'identificazione e la risposta alla violazione della privacy
Una volta che le organizzazioni sono consapevoli che una violazione della privacy è in corso, la preoccupazione immediata è quella di impedire che la violazione continui. Il GDPR richiede che le organizzazioni comunichino qualsiasi violazione dei dati personali all'autorità di vigilanza competente entro 72 ore dal rilevamento.
Se la violazione comporta un rischio elevato di ledere i diritti e le libertà di un individuo, allora l'individuo deve essere notificato con effetto immediato.
Le aziende dovrebbero avere un piano di risposta agli incidenti che delinea come gli incidenti saranno identificati, chi sarà coinvolto, come la minaccia sarà contenuta e sradicata, e come l'azienda documenterà e riporterà la violazione.
6. Evidenza della comprensione della protezione dei dati
Le organizzazioni devono dimostrare che il personale ha letto e compreso le politiche GDPR. Essere in grado di fornire questa prova mette le organizzazioni in una posizione forte per dimostrare che la "Privacy" è diventata parte integrante del loro business quotidiano. L'eLearning è uno dei modi migliori per garantire che il personale comprenda pienamente la politica GDPR.
Un programma di eLearning non solo assicurerà l'efficacia dell'esperienza di apprendimento, ma permetterà anche alle organizzazioni di dimostrare che le politiche sono state distribuite correttamente in modo significativo e misurabile.
7. Segnalare gli sforzi di conformità in corso
Il GDPR richiede che le organizzazioni valutino l'efficacia dei dati personali relativi alle pratiche operative. Effettuare valutazioni regolari degli sforzi di conformità e avere una struttura di reporting in atto consentirà alle aziende di dimostrare la responsabilità al senior management, alle parti interessate e alle autorità di vigilanza in caso di necessità. L'efficacia di un programma di conformità in corso richiede il monitoraggio di metriche misurabili e l'adeguamento dei processi quando vengono identificate incongruenze.
8. Condurre una revisione della sicurezza informatica
Il crimine informatico continua ad evolversi e a crescere ad un ritmo rapido e rappresenta un pericolo reale per le organizzazioni di tutto il mondo. Le organizzazioni devono valutare quanto è sicura la loro rete, quanto facilmente potrebbe essere violata, se i dati sono criptati e se il personale è addestrato a riconoscere i rischi.
La maggior parte di tutte le violazioni di dati inizia con una semplice e-mail di phishing, quindi è fondamentale che le organizzazioni investano nella formazione dei loro dipendenti per identificare e rispondere adeguatamente a queste minacce.
L'imminente scadenza del GDPR non è affatto un punto di arrivo per la conformità. Il GDPR continuerà ad evolversi nel tempo e le organizzazioni avranno bisogno di aggiornare costantemente i loro processi e sistemi per conformarsi al regolamento.
Se desideri maggiori informazioni su come la tua organizzazione può migliorare il suo approccio alla conformità al GDPR, clicca qui, per scoprire come MetaCompliance può aiutarti.
GDPR for Dummies
Se vuoi una copia della nostra guida GDPR for Dummies assolutamente GRATIS, clicca sull'immagine qui sotto
Formazione del personale GDPR facile da capire
In combinazione con la guida GDPR for Dummies, i nostri video nano di dimensioni ridotte permetteranno al vostro staff di comprendere gli aspetti chiave del GDPR. Questo è il programma di formazione GDPR di più alta qualità disponibile. Scopri perché i nostri clienti stanno facendo progressi nei loro progetti GDPR.
DISCLAIMER: Il contenuto e le opinioni di questo blog sono solo a scopo informativo. Non sono intesi a costituire una consulenza legale o professionale, e non dovrebbero essere considerati o trattati come un sostituto di una consulenza specifica relativa a particolari circostanze, il Data Protection Act, o qualsiasi altra legislazione attuale o futura. MetaCompliance non accetta alcuna responsabilità per eventuali errori, omissioni o dichiarazioni fuorvianti, o per qualsiasi perdita che possa derivare dall'affidamento sui materiali contenuti in questo blog.
