Il Parlamento europeo ha approvato la votazione finale per il nuovo regolamento generale sulla protezione dei dati (GDPR) nel mese di aprile 2016. La legislazione esistente sarà aggiornata per renderlo più rilevante per la tecnologia moderna e al contempo una forte impatto sulle compagnie presenti nell’Unione europea.
Le nuove leggi non saranno applicate almeno fino alla prima metà del 2018 – ma questo è un periodo relativamente breve per le imprese al fine di comprendere le nuove esigenze, valutare le misure di sicurezza e le pratiche esistenti, e diventare completamente compatibili. Le aziende devono considerare i seguenti passi da compiere per non restare indietro.
Garantire la privacy da progetto
Le preoccupazioni relative alla privacy devono essere parte integrante del progetto.
Le politiche sulla privacy devono essere trasparenti, scritte in un linguaggio chiaro e non ambiguo, ed essere facilmente accessibili.
Assicurati di incorporare il tema privacy nelle prime fasi del processo in qualsiasi nuovo progetto o prodotto che si distribuisce. Anche essere pronti alle richieste dei soggetti che vorranno esercitare i loro diritti secondo la GDPR, come ad esempio il diritto alla portabilità dei dati e il diritto alla cancellazione.
Se si memorizzano i dati personali, assicurati di avere motivi legittimi per possederli – spetterà a voi l’onere della prova per dimostrare che le vostre motivazioni sono legittime e prevalgono sugli interessi delle persone interessate. Siate pronti a rispondere a persone che hanno aspettative irrealistiche dei loro diritti. Ricordate, l’implementazione della privacy da progetto è in grado di dimostrare la conformità alle nuove norme e creare un vantaggio competitivo per l’organizzazione.
Analizzare la base giuridica su cui si utilizzano dati personali
Considera che tipo di elaborazione dei dati intraprendi . Ti affidi al consenso della persona, per esempio? Sei in grado di dimostrare di avere un interesse legittimo nel trattamento dei dati che non prevalgono sugli interessi della persona?
Le organizzazioni spesso ritengono di aver bisogno solo di ottenere il consenso delle persone interessate per elaborare i loro dati. Tuttavia, il consenso è solo uno dei diversi modi di legittimare attività di elaborazione e non è il migliore (ad esempio può essere ritirata). Se ci si basa sll’ottenimento del consenso , si raccomanda di verificare se i documenti e le forme di consenso sono adeguate e verificare che il consenso sia dato liberamente, specifico e informato. Si porta l’onere della prova, se la legittimità del trattamento dei dati viene messa in discussione.
Preparati a violazioni della sicurezza dei dati
Metti in atto politiche chiare e procedure già testate, al fine di garantire una veloce reazione a qualsiasi violazione dei dati e soddisfare i requisiti notifica delle violazioni..
La protezione dei dati dovrebbe essere una parte fondamentale della filosfia delle imprese dell’UE. Foto: bykst
Stabilire un quadro per la Responsabilità
Assicurarsi di disporre di politiche chiare al fine di dimostrare che si raggiungono gli standard richiesti. Stabilire una cultura del monitoraggio, revisione e valutazione delle vostre procedure di elaborazione dei dati, al fine di ridurre al minimo l’elaborazione dei dati e la conservazione dei dati, e la costruzione di misure di salvaguardia. Verificare che il personale sia preparato e comprenda i propri obblighi. Sarà inoltre necessario condurre valutazioni attendibili dell’impatto sulla privacy per rivedere eventuali attività di elaborazione dati a rischio e le misure adottate per affrontare i problemi specifici.
Fate attenzione ai trasferimenti di dati Cross-Border
Con i trasferimenti internazionali di dati, compresi i trasferimenti infragruppo, sarà importante assicurarsi di avere una base legittima per il trasferimento di dati personali a giurisdizioni che l’Unione europea non riconosce come aventi norme adeguate sulla protezione dei dati.
Questa non è una nuova preoccupazione, ma le conseguenze del mancato rispetto delle nuove norme potrebbero essere gravi. Il mancato rispetto potrebbe causare una multa fino al 4% del fatturato annuo Si può prendere in considerazione l’adozione di norme aziendali vincolanti per facilitare i trasferimenti infragruppo di dati.
Capire i vostri obblighi come incaricati al trattamento dei dati
Ai fornitori di altre organizzazioni, la GDPR impone alcuni obblighi diretti che avrete bisogno di comprendere e inserire nelle vostre politiche, procedure e contratti.
Esamina la documentazione contrattuale e verifica se è adeguata e, per i contratti esistenti, controlla a chi spetterà pagare il costo di eventuali modifiche ai servizi a seguito delle modifiche di leggi o regolamenti. Se si riceve un servizio di trattamento di dati da parte di terzi, è molto importante determinare e documentare le rispettive responsabilità.
In conclusione
Il 2018 sembra che sia molto lontano, ma in realtà è proprio dietro l’angolo. Il GDPR pone un accento più pesante sulle norme per le compagnie che dovranno garantire una maggior sicurezza sui dati , rispondere rapidamente quando si verifica una violazione dei dati, e rispondere alle esigenze di contenzioso che possono insorgere a seguito di una violazione.
Il tempo stringe per le organizzazioni per soddisfare le nuove esigenze. Se non è stato già fatto, prendete in considerazione di agire subito per non dover correre ai ripari e rischiare che la vostra compagnia di trovi in difficoltà nel 2018 aall’entrata in vigore delle nuove norme.
Per maggiori informazioni su Nuix, clicca qui.