GDPR: sai quali sono le principali deadline per le aziende?

Il GDPR è pienamente operativo dal 25 maggio 2018. Entro questa data occorre aver definito tutti gli adempimenti prescritti dalla normativa. E oltre la data occorre manutenere e documentare il processo di gestione delle informazioni.

Il trattamento dei dati diventa un processo produttivo da gestire, con fluidità, insieme a tutti gli altri progress aziendali.

Sono tante le attività da svolgere, il che rende consigliabile dotarsi di un modello che consenta di tenere sotto controllo la compliance e di essere in grado di dimostrarla.

Ecco la lista dei doveri per il Titolare del trattamento.

• Attribuire correttamente i ruoli e definire il modello organizzativo di gestione dei dati.
• Se il trattamento si basa sul consenso, essere in grado di dimostrare che l’interessato ha concesso il proprio benestare.
• Se le finalità del trattamento non richiedono più l’identificazione dell’interessato, non conservare, acquisire o trattare ulteriori informazioni identificative.
• Adottare misure appropriate per fornire l’informativa all’interessato.
• Agevolare l’esercizio dei suoi diritti.
• Garantire all’interessato il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano; osservare il diritto di trasmettere senza impedimenti i dati a un altro titolare.
• Aderire ai codici di condotta o a un meccanismo di certificazione per dimostrare il rispetto degli obblighi del titolare.
• Mettere in atto misure organizzative per garantire che siano trattati solo i dati necessari alle specifiche finalità del trattamento.
• Valutare l’opportunità di utilizzare un meccanismo di certificazione approvato per dimostrare la conformità ai requisiti.
• Tenere un registro delle attività di trattamento svolte.
• Considerare il rischio per i diritti e le libertà delle persone, al fine di dotarsi di misure tecniche che garantiscano la sicurezza.
• Far sì che chiunque agisca sotto l’autorità del Titolare e che nessuno tratti i dati se non istruito.
• In caso di violazione, notificarla all’autorità di controllo senza ingiustificato ritardo (ove possibile, entro 72 ore dalla scoperta).
• Documentare qualsiasi violazione dei dati personali, circostanze, conseguenze e provvedimenti adottati.
• Se presenta un rischio elevato per i diritti e le libertà delle persone, comunicare la violazione all’interessato senza ingiustificato ritardo.
• Nello svolgere una valutazione d’impatto, consultarsi con il DPO, qualora sia designato.
• Raccogliere le opinioni degli interessati o dei loro rappresentanti, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.
• Prima di procedere al trattamento, consultare l’autorità di controllo qualora la valutazione d’impatto presenti potenziali rischi elevati in assenza di misure.
• Ottemperare all’eventuale parere dell’autorità di controllo.
• Al momento di consultare l’autorità di controllo, comunicare tutte le informazioni prescritte.
• Designare sistematicamente un Data Protection Officer (DPO) quando necessario.
• Assicurare che il DPO sia tempestivamente coinvolto in tutte le questioni riguardanti la protezione dei dati.
• Sostenere il DPO nell’esecuzione dei compiti fornendogli le risorse necessarie per mantenere la propria conoscenza specialistica.
• Non rimuovere o penalizzare il DPO, e assicurarsi che non riceva alcuna istruzione per l’esecuzione dei propri compiti.
• Fornire all’organismo di certificazione tutte le informazioni e l’accesso alle attività di trattamento.
• Garantire la conformità al Regolamento.
• Attestare nel registro dei trattamenti la valutazione e le garanzie prescritte dal Regolamento.
• Per essere esonerato dalla responsabilità, essere in grado di dimostrare che l’evento dannoso non gli è in alcun modo imputabile.
• Per garantire che i dati non siano conservati più a lungo del necessario, stabilire un termine per la cancellazione o per la verifica periodica.

Tutte queste attività devono essere oggetto di verifica periodica, da documentare con cadenza almeno annuale.

Vuoi una mano dal nostro team di consulenti GDPR? Contattaci!