GDPR: sai quali sono le principali deadline per le aziende?

  • 16 ottobre 2017
GDPR: sai quali sono le principali deadline per le aziende?

Il GDPR è pienamente operativo dal 25 maggio 2018. Entro questa data occorre aver definito tutti gli adempimenti prescritti dalla normativa. E oltre la data occorre manutenere e documentare il processo di gestione delle informazioni.

Il trattamento dei dati diventa un processo produttivo da gestire, con fluidità, insieme a tutti gli altri progress aziendali.

Sono tante le attività da svolgere, il che rende consigliabile dotarsi di un modello che consenta di tenere sotto controllo la compliance e di essere in grado di dimostrarla.

 

Ecco la lista dei doveri per il Titolare del trattamento.

 

  • Attribuire correttamente i ruoli e definire il modello organizzativo di gestione dei dati.
  • Se il trattamento si basa sul consenso, essere in grado di dimostrare che l’interessato ha concesso il proprio benestare.
  • Se le finalità del trattamento non richiedono più l’identificazione dell’interessato, non conservare, acquisire o trattare ulteriori informazioni identificative.
  • Adottare misure appropriate per fornire l’informativa all’interessato.
  • Agevolare l’esercizio dei suoi diritti.
  • Garantire all’interessato il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano; osservare il diritto di trasmettere senza impedimenti i dati a un altro titolare.
  • Aderire ai codici di condotta o a un meccanismo di certificazione per dimostrare il rispetto degli obblighi del titolare.
  • Mettere in atto misure organizzative per garantire che siano trattati solo i dati necessari alle specifiche finalità del trattamento.
  • Valutare l’opportunità di utilizzare un meccanismo di certificazione approvato per dimostrare la conformità ai requisiti.
  • Tenere un registro delle attività di trattamento svolte.
  • Considerare il rischio per i diritti e le libertà delle persone, al fine di dotarsi di misure tecniche che garantiscano la sicurezza.
  • Far sì che chiunque agisca sotto l’autorità del Titolare e che nessuno tratti i dati se non istruito.
  • In caso di violazione, notificarla all’autorità di controllo senza ingiustificato ritardo (ove possibile, entro 72 ore dalla scoperta).
  • Documentare qualsiasi violazione dei dati personali, circostanze, conseguenze e provvedimenti adottati.
  • Se presenta un rischio elevato per i diritti e le libertà delle persone, comunicare la violazione all’interessato senza ingiustificato ritardo.
  • Nello svolgere una valutazione d’impatto, consultarsi con il DPO, qualora sia designato.
  • Raccogliere le opinioni degli interessati o dei loro rappresentanti, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.
  • Prima di procedere al trattamento, consultare l’autorità di controllo qualora la valutazione d’impatto presenti potenziali rischi elevati in assenza di misure.
  • Ottemperare all’eventuale parere dell’autorità di controllo.
  • Al momento di consultare l’autorità di controllo, comunicare tutte le informazioni prescritte.
  • Designare sistematicamente un Data Protection Officer (DPO) quando necessario.
  • Assicurare che il DPO sia tempestivamente coinvolto in tutte le questioni riguardanti la protezione dei dati.
  • Sostenere il DPO nell’esecuzione dei compiti fornendogli le risorse necessarie per mantenere la propria conoscenza specialistica.
  • Non rimuovere o penalizzare il DPO, e assicurarsi che non riceva alcuna istruzione per l’esecuzione dei propri compiti.
  • Fornire all’organismo di certificazione tutte le informazioni e l’accesso alle attività di trattamento.
  • Garantire la conformità al Regolamento.
  • Attestare nel registro dei trattamenti la valutazione e le garanzie prescritte dal Regolamento.
  • Per essere esonerato dalla responsabilità, essere in grado di dimostrare che l’evento dannoso non gli è in alcun modo imputabile.
  • Per garantire che i dati non siano conservati più a lungo del necessario, stabilire un termine per la cancellazione o per la verifica periodica.

Tutte queste attività devono essere oggetto di verifica periodica, da documentare con cadenza almeno annuale.

Vuoi una mano dal nostro team di consulenti GDPR? Contattaci!

Contattaci per maggiori informazioni!

*
*

Informativa sul trattamento dei dati personali

(Ai sensi dell'art. 13 del Decreto Legislativo 30 giugno 2003 no. 196)

Con la presente la Project Informatica s.r.l. (di seguito la "Società"), quale Titolare del Trattamento, ai sensi dell'art. 13 del D.Lgs. 196/2003 - Codice in materia di protezione dei dati personali ("Codice Privacy"), intende fornire agli utenti le informazioni volte ad illustrare i trattamenti eseguiti dalla Società sui dati personali ("Dati") forniti dall'utente mediante la compilazione del modulo contatti o della richiesta di demo.

Finalità del trattamento:

I. I dati sono raccolti per la finalità di gestione e risposta alle richieste pervenute.

II. Elaborazioni statistiche anonime relative ai profili degli utenti, atte a creare prodotti e servizi più funzionali alle esigenze degli stessi utenti/clienti;

III. Compimento di ricerche di mercato, invio di offerte personalizzate e/o inviti ad eventi di varia natura, nonché materiale informativo e comunicazioni di marketing, mediante posta, anche elettronica e telefono fisso.

Modalità di trattamento

In relazione alle suddette finalità, il trattamento dei dati personali sarà effettuato principalmente con l’ausilio di mezzi elettronici e automatizzati ma potrà prevedere anche trattamento manuale e cartaceo.

Natura del conferimento

Il conferimento dei dati è facoltativo, ma la mancata fornitura dei dati contrassegnati da un asterisco ci impedirà di gestire le sue richieste;

La finalità III (marketing diretto e/o invio newsletter) sarà attuata solo dietro suo espresso consenso.

Comunicazione e Diffusione

I dati raccolti tramite il modulo di richiesta contatto o demo non sono generalmente comunicati a soggetti esterni né tantomeno diffusi, esiste la possibilità tuttavia che i suoi dati siano comunicati a soggetti i coinvolti nella demo da lei richiesta (per esempio vendor o fornitori).

Diritti dell’interessato

A norma dell’art. 7 del codice potrà conoscere i suoi dati e farli integrare, modificare o cancellare per violazione di legge, od opporsi al loro trattamento (o per esercitare gli altri diritti previsti Codice), rivolgendosi al titolare del trattamento.

Titolare del trattamento

Titolare del trattamento è Project Informatica srl, Via C. Cattaneo, 6 24040 Stezzano (BG).

Responsabile del trattamento

Responsabile del trattamento è Alberto Ghisleni.

Proseguendo, dichiaro di aver preso visione dell'informativa sulla privacy e do il consenso al trattamento dei miei dati personali ai sensi dell'art.13 del D.Lgs.196/2003 e delle disposizioni del Regolamento UE 2016/679 (GDPR).