Cos’è il GDPR?
GDPR è un acronomico che sta per “Regolamento Generale sulla Protezione dei Dati”. Molto semplicemente, si tratta di una nuova legge aggiornata sulla protezione dei dati, che consente ai consumatori di riprendere il controllo di chi utilizza le loro informazioni personali e quando lo fa. Per quanto riguarda le aziende, esse dovranno assicurarsi che i dati siano da loro gestiti correttamente e che rispettino la normativa GDPR, altrimenti rischieranno di incorrere in pesanti sanzioni.
Quando
La data di entrata in vigore della normativa è il 25 maggio 2018, per chiunque gestisca dati personali di cittadini UE, dovunque nel mondo.
A chi è rivolta
Il GDPR permette agli interessati (i cittadini della UE i cui dati vengono processati) di vedersi riconosciuti determinati diritti e protezioni relative alle loro informazioni personali.
Cosa si intede per Informazioni Personali
Le informazioni personali possono includere molti tipi di dati, inclusi (ma non solo):
- Informazioni su Carte di Credito
- Foto e video
- Username e password
- Nome e Cognome
- Informazioni su conti bancari
- Indirizzo
- Cartelle Cliniche
- Informazioni su passaporti
- Indirizzi email personali
Cambiamenti fondamentali
Alcuni dei cambiamenti chiave delineati da GDPR includono:
- Estensione dell’ambito territoriale
- Requisiti avanzati di inventario dei dati
- Sanzioni aumentate
- Appointment of a Data Protection Officer (DPO) Nomina di un Responsabile della Protezione dei Dati (DPO)
- Impegni più ampi per i responsabili del trattamento dei dati (organizzazioni che raccolgono e gestiscono i dati dei cittadini dell’UE)
- Obblighi diretti per i responsabili del trattamento dei dati (qualsiasi società che elabora dati personali per conto di un responsabile del trattamento dei dati)
- Segnalazione più tempestiva della violazione dei dati
- Diritto alla portabilità dei dati
- Diritto alla cancellazione (“diritto di essere dimenticato”)
- Maggiore consenso per i dati
Avvertimento
In caso di violazione, le ammende potrebbero arrivare fino a 20 milioni di euro o il 4% del fatturato globale annuo, a seconda di quale sia il più alto dei due.
Come partire
Sappiamo che è facile rimanere intrappolati nei dettagli e non sapere da dove iniziare, quindi ecco dieci cose che dovresti fare ora per preparare il tuo GDPR fin d’ora (Fonte: http://bit.ly/2FfexFw)
1. Tutti i membri della tua azienda dovrebbero essere a conoscenza di GDPR
L’istruzione dovrebbe iniziare dall’alto e poi scendere per dare a tutti la conoscenza appropriata. Ricorda che gli stakeholder della business unit non hanno bisogno di comprendere tutte le sottili sfumature del GDPR, ma hanno bisogno di avere una conoscenza generale della terminologia, dei controlli richiesti e dei risultati desiderati.
2. Choose your “in house” GDPR specialist Scegli il tuo specialista GDPR “interno”
In conformità con i requisiti GDPR, potrebbe essere necessario che un responsabile della protezione dei dati (DPO) debba essere formalmente nominato per la propria organizzazione. Indipendentemente dal fatto che questo sia il caso, le nomine non dovrebbero limitarsi a ciò. La tua organizzazione dovrebbe avere uno specialista GDPR interno per ciascuna linea di business.
3. Quali sono i dati personali che controlli?
Che tu sia nel marketing, nelle risorse umane, nel servizio clienti, nell’approvvigionamento o in una delle tante altre divisioni della tua organizzazione in cui GDPR sarà un punto focale, dovresti immediatamente iniziare a identificare tutti i dati personali relativi ai cittadini dell’UE che sono sotto il tuo controllo.
4. Crea un elenco delle tue attività di elaborazione dei dati personali
Le procedure di elaborazione dei dati personali conformi a GDPR possono essere implementate centralmente o per ogni dipartimento. Non ci sono regole rigide o veloci, ma non puoi creare procedure finché non comprendi come tu o il tuo reparto elaborate i dati personali che sono sotto il vostro controllo.
5. Educa e coinvolgi i tuoi team legali e di informazione
Ciò è quasi scontato. Poiché GDPR è una norma cogente, i team legali, di conformità e di sicurezza delle informazioni dovrebbero essere coinvolti sin dall’inizio.
6. Controlla la tua richiesta di consenso e le notifiche correnti
Assicurati di identificare in che modo la tua parte aziendale sta attualmente ottenendo il consenso e fornendo notifiche di elaborazione.
7. Chi gestisce quotidianamente dati personali nella tua organizzazione?
Inizia a coinvolgere e istruire i dipendenti nella tua area aziendale che trattano o elaborano dati personali come parte delle loro responsabilità quotidiane.
8. Crea un piano di sicurezza in caso di violazione della privacy
Al fine di fornire notifiche di violazione come richiesto da GDPR, è necessario sapere che si è verificata una violazione. Sembra ovvio e forse anche di buon senso, ma sapere che si è verificata una violazione può essere difficile.
9. Ricontrolla tutta la gestione delle richieste di dati della tua organizzazione
Se i tuoi dipendenti e clienti oggi non stanno già richiedendo i dati che archivi e elabori su di loro, è molto probabile che inizieranno a farlo una volta che GDPR sarà pienamente operativo. È necessario disporre di processi e procedure coerenti e coerenti per la gestione delle richieste relative ai diritti dei soggetti dei dati coperti da GDPR.
10. Scopri tutte le terze parti che elaborano dati per conto tuo
Infine, inizia a documentare i servizi di elaborazione dati di terze parti sfruttati dalla tua azienda. Utilizzi terze parti per consolidare i tuoi dati di marketing e gestire le mailing list, ad esempio? Assicurati di prendere in considerazione tutti i possibili scenari di elaborazione dei dati di terze parti.
GDPR e le Piattaforme di Enkronos
Tutti i nostri team hanno già iniziato con tutto il lavoro necessario, per garantire che tutte le nostre piattaforme siano al 100% in linea con GDPR! Ci rendiamo conto che questo è solo l’inizio di un processo lungo e talvolta imprevedibile, e siamo certi che alcune modifiche necessarie diventeranno chiare solo dopo il 25 maggio 2018.
Se pensi che il GDPR non ti riguardi …
Se qualcuno ti chiede di cancellare i suoi dati personali, sai dove si trovano? 🙂
If someone ask you to delete their personal data, do you know where it is? 🙂
Sei sicuro di essere in linea con GDPR su tutte le tue fonti di dati? PC, laptop, dispositivi mobili? E-mail? Cloud? File server e CMS con centinaia o migliaia di utenti autorizzati? Dev / copie di prova? Applicazioni di business intelligence e analisi dati?
Enkronos Marketing Team
