Checklist GDPR: fai un audit veloce in 5 minuti (di lettura)
Checklist GDPR: fai un audit veloce in 5 minuti (di lettura)
Una checklist GDPR per capire se sei a posto con gli adempimenti previsti dal regolamento della privacy. È da 3 anni che il GDPR è entrato in azienda ma continuano a esserci ancora adempimenti poco chiari e confusionari. Questa gdpr checklist in italiano può aiutare la tua azienda a conoscere tutto quello che c’è da sapere in materia di adempimenti per la privacy.
Checklist GDPR: un aiuto per orientarsi in un percorso in evoluzione
Fare confusione in materia di adempimenti per la privacy è più facile di quanto non si pensi. Ciò è dovuto in parte all’inarrestabile evoluzione della tematica, influenzata dai continui aggiornamenti tecnologici che amplificano continuamente le sfumature assunte dai trattamenti di dati personali, ma non solo. I passi incerti che ancora in molti muovo sul percorso della conformità al GDPR sono dovuti soprattutto alla poca consapevolezza che si ha in materia.
Rimanere sempre aggiornati non è semplice ma è possibile. Un buon punto di partenza? Conoscere bene le basi per aumentare la familiarità con certi adempimenti quotidiani (o quasi) e riuscire così ad acquisire maggiore consapevolezza e capacità di adattamento alle novità .
Riteniamo dunque utile rispolverare alcuni concetti e ricordare quelle che tra le attività operative riteniamo fondamentali per raggiungere la compliance, migliorare la propria organizzazione, e tutelarsi dalle sanzioni in materia Privacy GDPR.
GDPR checklist in italiano
1. Accountability
Â
L’accountability è un aspetto fondamentale. Per raggiungere e mantenere la compliance è necessario comprendere, e poi far vivere all’interno della propria azienda questo concetto. Letteralmente l’accountability fa riferimento alla capacità di mettere in atto le giuste modalità di trattamento e rendere conto di quanto attuato in ottica di protezione dei dati personali.Â
Scegliere dettagliatamente cosa fare e come realizzarlo non basta ma è necessario riuscire a dimostrare e provare che quanto dichiarato corrisponda all’effettiva organizzazione operativa della realtà aziendale di riferimento.
La normativa infatti non ci dice cosa fare nel dettaglio ma ci da invece la libertà di raggiungere la compliance GDPR nel modo migliore per la nostra realtà . Un’opportunità in più per responsabilizzare il Titolare ma soprattutto per scegliere le modalità più affini per l’azienda in questione.
Il primo punto da depennare dalla nostra checklist è quindi la voce ACCOUNTABILITY, che possiamo eliminare solo dopo averne compreso il significato e aver reso operativo questo concetto.
Come? Affiancando ad ogni scelta intrapresa una motivazione e una documentazione corrispondente.
2. Formazione come prima misura di sicurezza e protezione dei dati personali
È vero che l’accountability ricade principalmente sul Titolare dell’azienda ma sarebbe surreale pensare che concretamente sia l’unico soggetto chiamato a rispettare questo concetto. Il Titolare infatti può fare a meno di delegare adempimenti operativi ad altri soggetti parte del team, che mai potrebbero agire in maniera corretta senza conoscere bene quelle che sono le linee guida sul trattamento dei dati personali. È per questo che al secondo punto della nostra checklist GDPR è dedicato all’organizzazione di sessioni formative, che entra di diritto tra gli adempimenti principali.
La formazione può essere generale o riguardante specifiche mansioni.
Conoscere è la prima strada per mitigare i rischi che si nascondono dietro i trattamenti di dati personali.
3. Conoscere i punti di accesso dei dati personali
È fondamentale conoscere quali sono le fonti di dati personali per poter controllare bene gli accessi, filtrare solo le informazioni effettivamente utili allo scopo perseguito e autorizzare le persone che devono necessariamente trattare quei dati personali. Tutte le aziende hanno ormai una doppia anima, fisica e digitale.
È dunque importante non sottovalutare i dati personali che vengono raccolti tramite il sito, i social e i sistemi di messagistica utilizzati dall’azienda.
Immaginiamo la nostra azienda come una rete. Ogni punto rappresenta un’unità organizzativa che inevitabilmente entra in contatto con le altre, condividendo in alcuni casi informazioni e dati personali. Il quarto punto del nostro gdpr checklist audit punta a trovare risposte alle seguenti domande:
CHI tratta questi dati? Cioè i dati raccolti dalla tua azienda vengono trattati da tutti i dipendenti interni? Solo da alcuni? Anche dai collaboratori esterni, fornitori ecc..?
COSA trattano i tuoi dipendenti? I vari soggetti coinvolti accedono solo alle informazioni utili per la propria attività lavorativa? Accedono indistintamente a tutti i dati personali raccolti?
COME viene garantita la protezione dei dati personali. O meglio, chi è autorizzato a trattare dati personalivi accede nel modo corretto? Rispettano le istruzioni fornite e le misure di sicurezza?
PERCHÈ vengono richiesti proprio quei dati personali? Sono pertinenti allo scopo perseguito? È fondamentale riuscire ad avere risposte certe e prive di dubbi alle domande sopra esposte per poter riuscire a creare una modello di gestione della protezione dei dati personali completo e avere ben chiari quelli che sono gli eventuali gap da colmare
CERCHI UN SUPPORTO COMPLETO? AFFIDATI AGLI ESPERTI INFORPC! FAI CRESCERE LA TUA ATTIVITÀ, SENZA PENSARE AD ALTRO…
Quanto analizzato e mappato andrà poi formalizzato nei documenti che affiancheranno i vari trattamenti. Molto utile per la stesura dei documenti sarà sicuramente la formazione, necessaria a comprendere – tra le altre cose – quali documenti predisporre, come predisporli e quando utilizzarli.
Oltre naturalmente al supporto del DPO (se nominato) o di un consulente esperto.
I vari documenti dovranno essere una fotografia di quanto analizzato in precedenza e di quanto si verifica concretamente tra gli uffici della tua azienda in ottica di protezione di dati personali.È fondamentale infatti che quanto descritto nei documenti corrisponda alla reale gestione dei dati personali. Oltre alle varie informative e nomine è necessario predisporre e aggiornare il registro delle attività di trattamento ma anche il registro data breach, il registro nuovi trattamenti, il registro responsabili…
7. Verifica dell'efficacia: l'importanza di una checklist GDPR per gli audit interni
È fondamentale che al controllo effettuato da ciascun ufficino segua la stesura di un piano di miglioramento oltre che momenti di confronto con il Titolare, il referente privacy e il DPO se presente.
I punti elencati sono sicuramente utili per fare un check sulle procedure già attuate, implementare le nuove e creare un terreno fertile all’accoglimento delle tante novità in materia che non tardano ad arrivare.