Questa settimana scocca l'ora X per GDPR. Da venerdì 25 maggio, infatti, in tutta l'UE entra in vigore il nuovo regolamento sul trattamento dei dati personali. Ne abbiamo parlato ampiamente in questi ultimi mesi, ma molte aziende (vicentine e non solo) hanno ancora dubbi da chiarire sull'argomento. Per questo riprendiamo la rubrica "GDPR in pratica" con cui prendiamo in esame i problemi concreti delle imprese. Nell'ultimo post avevamo parlato dei più comuni tipi di trattamento. Oggi vi forniamo la lista dei documenti da produrre e un riassunto sulle figure fondamentali previste da GDPR.
Cliccando qui potrete scaricare inoltre una check list con cui verificare se siete pronti a GDPR.
I documenti da produrre
- Informative sul trattamento (clienti, dipendenti, fornitori);
- Consensi al trattamento (dipendenti - clienti, se il trattamento è a fini pubblicitari);
- Nomine per gli incaricati;
- Registro dei trattamenti: non è obbligatorio, ma utile a gestire gli adempimenti. Nonché a dimostrare organizzazione ed efficacia delle procedure di trattamento e protezione;
- Registro per i responsabili esterni;
- Gestione data breach - registro della violazioni;
- Consigliato: regolamento interno di comportamento in relazione all'uso degli strumenti informatici (si possono usare per scopi personali? Per ogni cosa? Si possono installare software? Si possono scaricare dati?);
- Consigliato: Procedure su uso intertet, misure di sicurezza, uso corretto dei dispositivi, di archiviazione cartacea, ecc.
Le figure della privacy
GDPR prevede che il titolare del trattamento (persona fisica o giuridica) individui soggetti che collaborano alla gestione dei dati.
- Il responsabile del trattamento (ART. 28). Ove nominato, è definito come la persona fisica o giuridica che tratta dati personali per conto del titolare del trattamento; deve presentare garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse per mettere in atto le misure tecniche e organizzative che assicurano la sicurezza del trattamento.
- Se sono stati stipulati contratti con fornitori esterni che trattano dati per conto dell'azienda o se l'impresa usufruisce di servizi esterni (es. IT, gestione dipendenti per la sicurezza e per le buste paga, dichiarazione redditi, ecc.) è opportuno che il titolare del trattamento stipuli un contratto scritto con i c.d. responsabili esterni del trattamento.
- Gli incaricati al trattamento, cioè dipendenti e collaboratori che compiono operazioni di trattamento, operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite. Il Regolamento, pur affrontando solo indirettamente la definizione degli “incaricati”, conferma di designare per iscritto gli incaricati ed individuare puntualmente, con apposito mansionario sempre scritto, l'ambito di trattamento consentito per ogni singolo incaricato o per ufficio. Ogni incaricato al trattamento riceve dal titolare le credenziali di autenticazione per l'accesso agli strumenti informatici.
Siamo a disposizione per offrirvi tutta la consulenza necessaria a mettere in regola la vostra azienda dal punto di vista della tutela dei dati e della privacy in vista della scadenza del 25 maggio 2018 e ad indicarvi la modalità per dotarvi dei documenti da produrre. Per qualsiasi informazione, contattaci. Ci trovi ad Arzignano, in provincia di Vicenza.
