Assistenza professionale per adeguamento al GDPR

GDPR.
Solo un’altra legge o anche un’opportunità?

Scopri come la prossima normativa sulla privacy
può aiutarti a raggiungere nuovi obiettivi di marketing.

Cos’è il GDPR?

GDPR sta per General Data Protection Regulation ed è il nuovo regolamento europeo (norma 2016/679) sul trattamento dei dati personali che entrerà in vigore Il 25 maggio 2018.

Finora il trattamento dei dati personali in Italia era regolato dal cosiddetto “Codice Privacy” (D. Lgs 196/03), ma tra poco le cose cambieranno e tutte le aziende che a vario titolo trattano dati sensibili dovranno adeguarsi. Le violazioni, infatti, possono comportare ingenti sanzioni (fino a 20 milioni di euro o fino al 4% del fatturato globale annuo dell’impresa).

C’era bisogno di una nuova normativa?

La legge precedente risaliva al 2003 ma nel frattempo, mentre la tecnologia ha reso disponibili nuovi dispositivi e nuovi processi che hanno permesso di elaborare forme di interazione più complesse, si evidenziavano soprattutto in termini di sicurezza anche alcune differenze tra le legislazioni dei paesi membri. Il GDPR rappresenta quindi un’evoluzione necessaria in tema di privacy e protezione dei dati personali ma non è solo una norma a cui si è tenuti a adeguarsi: è anche un’opportunità per le aziende di affinare e rendere più efficienti i propri modelli di business.

Cosa cambia davvero?

Ogni azienda ha bisogno di utilizzare dati personali di diversa natura – clienti, prospect o fornitori – per gestire al meglio le proprie attività e il tema della privacy era visto finora soltanto come un obbligo a cui facevano seguito degli atti formali che riguardavano esclusivamente l’ufficio legale. Da domani la responsabilità del trattamento dei dati passerà invece al titolare d’azienda a cui saranno richieste specifiche mansioni e diversi adempimenti.

Le novità più importanti riguardano l’informativa, che dovrà essere breve, priva di riferimenti normativi, trasparente e scritta con un linguaggio semplice e chiaro, e la modalità di raccolta del consenso, che da consenso espresso passa a consenso consapevole. Viene poi introdotto il principio dell’accountability, che riguarda in modo più ampio e restrittivo la protezione dei dati raccolti.

Il GDPR prevede anche l’istituzione del Data Privacy Officer (DPO), ovvero del responsabile per la protezione dei dati personali, che può essere anche un consulente esterno. Non si tratta di una semplice figura burocratica, ma di un vero e proprio manager esperto in database aziendali visto che le sue mansioni riguarderanno, oltre quelle legate alla corretta applicazione del Regolamento, anche quelle orientate a un utilizzo più creativo e più finalizzato a operazioni di marketing dei processi di raccolta del consenso al trattamento dei dati.

Gli step per non farsi trovare impreparati

GDPR - Gli step per non farsi trovare impreparati. GDPR - Gli step per non farsi trovare impreparati.

La proposta della Flag

Il processo di adeguamento al GDPR che offre la Flag riguarda:

  1. la predisposizione delle opportune check-lists;
  2. un incontro presso la sede del Cliente per gli aspetti legali/procedurali e un incontro per gli aspetti IT;
  3. la redazione e l’invio di un assessment report finale sintetico.

Con l’esito dell’assessment il Cliente sarà in grado di valutare l’impatto del GDPR sulla propria realtà in relazione a:

  • l’organigramma privacy, ruoli e responsabilità;
  • i responsabili esterni;
  • la formazione e l’istruzione degli “incaricati”;
  • il DPO (Data Protection Officer);
  • la privacy by design;
  • la privacy by default;
  • il registro delle attività di trattamento;
  • il data breaches;
  • il DPIA (Data Protection Impact Assessment);
  • il diritto alla cancellazione (“diritto all’oblio”);
  • il trasferimento di dati all’estero;
  • l’IT security.

Per quanto attiene agli aspetti dell’Information Technology, si procederà svolgendo indicativamente le seguenti attività, in coordinamento con l’analisi complessiva procedurale/legale:

  1. la ricognizione e la redazione dell’anagrafica delle infrastrutture e dei dispositivi che contengono dati personali;
  2. la ricognizione e la redazione dell’anagrafica dei dati personali contenuti sulle applicazioni aziendali;
  3. la mappatura dell’attuale trattamento dei dati personali (inclusi quelli appartenenti alle “categorie particolari”, già “dati sensibili”) contestualizzato alle anagrafiche dei primi due punti;
  4. la verifica delle misure in atto per la sicurezza e la salvaguardia dei dati;
  5. la mappatura delle criticità e dei possibili scenari di adeguamento alla normativa.

Per maggiori informazioni: info@flag.email