GDPR come adeguarsi: guida utile su cosa fare

Proprio nei giorni dello scandalo Cambridge Analytica è necessario fermarsi un attimo e comprendere quanto la privacy online sia fondamentale. A proposito di questo, il mese prossimo entrerà in vigore il nuovo Regolamento UE 2016/279, presentato nel dicembre 2015 e pubblicato in Gazzetta Ufficiale nel maggio 2016. Questo nuovo regolamento, conosciuto anche con l’acronimo GDPR (General Data Protection Regulation) disciplina la raccolta, l’elaborazione e la gestione dei dati sensibili di clienti ed utenti delle diverse aziende. Una rivisitazione dei precedenti regolamenti che permette un migliore controllo ma soprattutto unisce tutte le aziende senza più fare distinzioni per settore produttivo.

GDPR: cosa comporta per le aziende?

Innanzitutto le aziende sono tenute a richiedere il consenso alle persone per poter trattare ed elaborare i dati, inoltre deve essere dimostrabile in ogni momento l’accettazione da parte dell’utente stesso. Ogni dato ottenuto deve essere specifico, esplicito ma soprattutto deve essere usato soltanto per scopi legittimi: se così non fosse deve essere possibile effettuare la revoca del consenso in qualsiasi momento.

Ma il GDPR permetterà a tutti gli individui interessati di accedere liberamente alle informazioni sulle modalità di elaborazione e trattamento di quei dati e il tempo massimo da parte delle aziende per rispondere a tale richiesta è di massimo 30 giorni. Ovviamente tutti i dati devono essere esportabili in un formato strutturato, ad esempio Excel.

Alcune aziende, se necessario, potranno prevedere una nuova e apposita figura professionale, ovvero il data protection officer. Questa figura diventa obbligatoria per le aziende pubbliche e private che trattano dati in grado di ledere i diritti degli individui coinvolti. Questo soggetto, dunque, deve essere in grado di monitorare liberamente i dati, deve avere potere di controllo, può essere sia interno all’azienda ma anche esterno e non deve essere in posizione di conflitto d’interessi.

Sono dunque 8 gli step da fare per un’azienda che vuole adeguarsi al GDPR:

• individuare i dati presenti in azienda
• suddividere i dati stessi in gruppi e per ognuno di questi stabilire una finalità
• per ogni gruppo si deve individuare modalità e figurate autorizzate
• si devono definire inoltre modalità e tempi di conservazione
• stabilire una dettagliata informativa sulla privacy
• costituire un sistema di sicurezza adeguato
• definire una procedura in caso di incidenti informatici
• valutare l’istituzione della figura del data protection officer