Benché non si possa generalizzare e ogni organizzazione debba attentamente analizzare il proprio contesto e le proprie necessità, ci sono almeno 5 adempimenti ai quali non si dovrebbe mai rinunciare.
Non si tratta solo di evitare sanzioni, ma soprattutto di gestire in modo corretto la propria attività, sia esso un business vero e proprio oppure l’esercizio di un’attività professionale.
Maturare la consapevolezza che si tratta di questioni che non è complesso adottare è dimostrazione non solo di attenzione verso la propria clientele, ma anche, ormai, cifra di modernità e vera professionalità.
Vediamoli, quindi, brevemente:
- Il Registro delle attività di trattamento: il documento che riassume e sintetizza le attività di trattamento che sono effettuate, con quali dati, in relazione a quali interessati, mediante quali servizi e attraverso eventuali trasferimenti esteri, con l’indicazione delle misure di sicurezza, tecniche e organizzative, che abbiamo messo in atto. Per un modello semplificato: https://www.garanteprivacy.it/registro-delle-attivita-di-trattamento;
- Un’attenta contrattualizzazione dei rapporti con i fornitori: affidare integralmente, o anche solo in parte, alcune operazioni di trattamento a soggetti che sono al di fuori dell’organizzazione, comporta la necessità di mettere per iscritto alcune regole, molto importanti, su ciò che il fornitore deve, non deve, può o non può, fare. L’art. 28 del Gdpr è molto preciso al riguardo: https://www.garanteprivacy.it/il-testo-del-regolamento;
- Un processo o una procedura per gestire le richieste di esercizio dei diritti da parte degli interessati: il Regolamento ruota, anche, intorno all’importanza di rispettare i diritti che tutti noi abbiamo in relazione alle attività che vengono effettuate con i nostri dati. Se, per esempio, volessimo conoscere quali informazioni una determinata organizzazione conserva di noi, avremmo, appunto, tutto il diritto di saperlo, con dovizia di particolari ed entro tempistiche precise. Una panoramica di questi argomenti è disponibile qui: https://garanteprivacy.it/i-miei-diritti;
- Prepararsi a gestire eventuali incidenti di violazione dei dati personali. Subire un evento che comporta una violazione di riservatezza, un incidente che comporti un’alterazione dell’integrità dei dati o la mancanza della loro disponibilità è un evento che deve essere non solo prevenuto, ma anche previsto e gestito, perché potrebbe generare dei rischi ai diritti e alle libertà delle persone. E’ necessario non solo annotare, nel caso, l’evento, ma anche eseguire delle valutazioni su cosa sia successo e su cosa potrebbe accadere. Non prepararsi potrebbe significare aggravare gli eventuali danni e incorrere in sanzioni anche pesanti. Informazioni, chiarimenti e modulistica sono disponibili qui: https://www.garanteprivacy.it/data-breach;
- Informare le persone. Prima di trattare qualsiasi tipo di dato personale bisogna informare gli interessati fornendo loro precise e chiare informazioni, in un linguaggio semplice ma non banale. Pochi leggono questi documenti, spesso scritti in modo poco comprensibile. E’ un errore, però, perché queste policy ci dicono molto sul soggetto al quale stiamo per affidare informazioni importanti. Essere consapevoli su cosa sarà fatto, perché e da chi, con i nostri dati, è fondamentale. Gli articoli relativi alle informazioni da fornire sono, soprattutto, l’art. 12, l’art. 13 e l’art. 14. Si trovano agevolmente online.
Non è certo tutto, ma è un buon inizio.
#privacy #dataprotection #accountability