GDPR: sai quali sono le principali deadline per le aziende?

  • 16 ottobre 2017
GDPR: sai quali sono le principali deadline per le aziende?

Il GDPR è pienamente operativo dal 25 maggio 2018. Entro questa data occorre aver definito tutti gli adempimenti prescritti dalla normativa. E oltre la data occorre manutenere e documentare il processo di gestione delle informazioni.

Il trattamento dei dati diventa un processo produttivo da gestire, con fluidità, insieme a tutti gli altri progress aziendali.

Sono tante le attività da svolgere, il che rende consigliabile dotarsi di un modello che consenta di tenere sotto controllo la compliance e di essere in grado di dimostrarla.

 

Ecco la lista dei doveri per il Titolare del trattamento.

 

  • Attribuire correttamente i ruoli e definire il modello organizzativo di gestione dei dati.
  • Se il trattamento si basa sul consenso, essere in grado di dimostrare che l’interessato ha concesso il proprio benestare.
  • Se le finalità del trattamento non richiedono più l’identificazione dell’interessato, non conservare, acquisire o trattare ulteriori informazioni identificative.
  • Adottare misure appropriate per fornire l’informativa all’interessato.
  • Agevolare l’esercizio dei suoi diritti.
  • Garantire all’interessato il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano; osservare il diritto di trasmettere senza impedimenti i dati a un altro titolare.
  • Aderire ai codici di condotta o a un meccanismo di certificazione per dimostrare il rispetto degli obblighi del titolare.
  • Mettere in atto misure organizzative per garantire che siano trattati solo i dati necessari alle specifiche finalità del trattamento.
  • Valutare l’opportunità di utilizzare un meccanismo di certificazione approvato per dimostrare la conformità ai requisiti.
  • Tenere un registro delle attività di trattamento svolte.
  • Considerare il rischio per i diritti e le libertà delle persone, al fine di dotarsi di misure tecniche che garantiscano la sicurezza.
  • Far sì che chiunque agisca sotto l’autorità del Titolare e che nessuno tratti i dati se non istruito.
  • In caso di violazione, notificarla all’autorità di controllo senza ingiustificato ritardo (ove possibile, entro 72 ore dalla scoperta).
  • Documentare qualsiasi violazione dei dati personali, circostanze, conseguenze e provvedimenti adottati.
  • Se presenta un rischio elevato per i diritti e le libertà delle persone, comunicare la violazione all’interessato senza ingiustificato ritardo.
  • Nello svolgere una valutazione d’impatto, consultarsi con il DPO, qualora sia designato.
  • Raccogliere le opinioni degli interessati o dei loro rappresentanti, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.
  • Prima di procedere al trattamento, consultare l’autorità di controllo qualora la valutazione d’impatto presenti potenziali rischi elevati in assenza di misure.
  • Ottemperare all’eventuale parere dell’autorità di controllo.
  • Al momento di consultare l’autorità di controllo, comunicare tutte le informazioni prescritte.
  • Designare sistematicamente un Data Protection Officer (DPO) quando necessario.
  • Assicurare che il DPO sia tempestivamente coinvolto in tutte le questioni riguardanti la protezione dei dati.
  • Sostenere il DPO nell’esecuzione dei compiti fornendogli le risorse necessarie per mantenere la propria conoscenza specialistica.
  • Non rimuovere o penalizzare il DPO, e assicurarsi che non riceva alcuna istruzione per l’esecuzione dei propri compiti.
  • Fornire all’organismo di certificazione tutte le informazioni e l’accesso alle attività di trattamento.
  • Garantire la conformità al Regolamento.
  • Attestare nel registro dei trattamenti la valutazione e le garanzie prescritte dal Regolamento.
  • Per essere esonerato dalla responsabilità, essere in grado di dimostrare che l’evento dannoso non gli è in alcun modo imputabile.
  • Per garantire che i dati non siano conservati più a lungo del necessario, stabilire un termine per la cancellazione o per la verifica periodica.

Tutte queste attività devono essere oggetto di verifica periodica, da documentare con cadenza almeno annuale.

Vuoi una mano dal nostro team di consulenti GDPR? Contattaci!

Contattaci per maggiori informazioni!

*
*

Termini e condizioni di utilizzo: privacy policy di Project Informatica