La conformità al GDPR è un processo complesso che richiede l’intervento di almeno uno specialista IT e di un avvocato. Si tratta infatti di garantire un’adeguata sicurezza informatica nonché un’organizzazione dei dati che consenta di limitare i dati trattati.

Fase 1: Implementazione della conformità al GDPR:

La prima fase segna la designazione di un pilota: questo passaggio consiste nella nomina di un responsabile della protezione dei dati che può essere il manager dell’azienda.

Fase 2: Organizzazione della compliance al GDPR

– mappatura dei trattamenti di dati personali: si tratta della redazione di un registro dei trattamenti che consente di fare il punto sulle categorie di dati personali (per determinare se si tratta di dati sensibili, dati relativi alle assunzioni, gestione buste paga, formazione in materia gestione dei clienti e prospect, ecc.), gli obiettivi perseguiti, gli attori, i flussi). La mappa includerà almeno i seguenti elementi:

o la finalità del trattamento (perché la mia struttura raccoglie dati e quali sono i limiti di raccolta e trattamento?),

o il periodo di conservazione dei dati (dipende dalla finalità),

o le categorie di dati (si tratta di dati sensibili?),

o gli interessati dai dati,

o i destinatari dei dati (ossia la determinazione dei soggetti che hanno accesso ai dati),

o le misure di sicurezza applicate al trattamento,

L’organizzazione del trattamento dei dati personali comporta l’inserimento di una clausola “GDPR” nei contratti e nelle condizioni generali di vendita. In caso di dubbio circa l’applicazione del diritto ai dati personali ad un rapporto contrattuale, è opportuno inserire una clausola GDPR. In effetti, un indirizzo email professionale il cui formato sarebbe “cognome.nome@nomedell’azienda.com” sarebbe qualificato come dati personali quando contiene un nome e un cognome. L’esposizione alla legge sui dati personali è quindi costante.

È necessario considerare la minimizzazione dei dati, ovvero pianificare di raccogliere solo i dati strettamente necessari allo svolgimento dell’attività in questione. La conformità al GDPR è un’opportunità per migliorare le pratiche interne.

– definizione delle priorità: a seconda della sensibilità dei dati – che sarà stata stabilita in fase di mappatura – saranno prioritarie le azioni da svolgere, saranno presi provvedimenti per procedere alla cancellazione dei dati che non sarebbero strettamente necessari proposta (salvo il termine di prescrizione applicabile a ciascun contratto), saranno esaminate le informative degli interessati e, in certi casi, saranno formulate proposte di modifica, infine le modalità di esercizio dei diritti di accesso, rettifica e recesso in particolare sarà proposto;

Fase 3: Protezione del titolare del trattamento dal rischio

– gestione del rischio: per i dati personali che possono generare rischi elevati, sarà effettuato uno studio d’impatto relativo alla protezione dei dati – una descrizione del trattamento e delle sue finalità, una valutazione della necessità e della proporzionalità del trattamento, una valutazione dei rischi ai diritti fondamentali.

Ricorda: sebbene la protezione del computer e il miglioramento dell’elaborazione interna dei dati limitino i rischi, è consigliabile prepararsi per ogni evenienza. I dati che presentano i rischi maggiori (dati riguardanti in particolare la religione, l’appartenenza sindacale, ecc.) saranno oggetto di un trattamento speciale.

Fase 4: Miglioramento dell’organizzazione interna e preparazione ad un controllo da parte della CNIL

– organizzazione dei processi interni: verranno proposti processi interni al fine di mitigare i rischi di violazione della sicurezza informatica dalla creazione alla distruzione dei dati, al fine di far fronte alle richieste di modifica dei dati (diritto di rettifica, diritto di opposizione ecc… );

– documentazione di conformità: il titolare del trattamento ha la responsabilità di provare la conformità al GDPR, ciò significa che deve compilare la documentazione al fine di far fronte a qualsiasi controllo da parte della CNIL – questa fase è caratterizzata dalla creazione di due registri di elaborazione che consentono di identificare il trattamento dei dati e per avere una visione d’insieme del trattamento dei dati (i registri forniscono informazioni in particolare sulle categorie di dati, il tempo di conservazione, la sicurezza);

– formare soci e collaboratori: è opportuno prevedere una carta per la raccolta e il trattamento dei dati personali e garantire una formazione continua per il personale della struttura. La conformità al trattamento dei dati è in continua evoluzione e dovrebbe essere regolarmente monitorata. In quanto tale, il sito web della CNIL consente di seguire l’evoluzione delle normative e delle buone pratiche.