Cosa fare nelle imprese per le normative del nuovo GDPR entro il 25 maggio 2018
In base all’articolo precedente, riportante il nuovo regolamento europeo in materia di trattamento dei dati personali, cerchiamo di individuare cosa sia necessario proporsi ad ambito aziendale o imprenditoriale.
Rifacendosi sempre al regolamento ufficiale, dati come registri dipendenti, fornitori, clienti e via dicendo si intendono sottoposti al trattamento di dati personali, anche una foto per esempio, qualsiasi elenco presente in azienda legato a persone fisiche o identificabili rientra nel regolamento del trattamento della privacy.
In ogni Azienda o impresa si dovrebbe:
- identificare un responsabile al trattamento dei dati
- notificare, assumere ed archiviare il consenso da parte degli interessati ed informalo a quali usi saranno soggetti.
- l’interessato deve poter negare la conservazione o il trattamento dei propri dati personali.
- se l’interessato ai dati personali non presta il consenso al trattamento ed archiviazione dei dati ai fini specifici dell’utilizzo, l’azienda o impresa può avvalersi alla mancata prestazione dei servizi.
- in caso di acquisizione di immagini attraverso l’accesso a determinate aree, vale il tacito consenso attraverso il passaggio in dette aree ma si deve segnalare la presenza di macchinari atti a tale scopo, a quali fini vengono eseguite le acquisizioni ed i responsabili ai dati acquisiti.
- l’interessato deve avere il diritto di poter far modificare e cancellare i propri dati, ove ammesso o possibile.
- l’interessato deve essere a conoscenza del periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo
- l’azienda o impresa deve rendersi responsabile della sicurezza dei dati personali acquisti.
- il responsabile del trattamento dei dati deve assumere un registro delle attività svolte per il trattamento dei dati, compresa la sicurezza
- la tenuta e conservazione dei registri delle attivita deve essere eseguita in maniera cartaceo ed elettronica
- i registri delle attività sulla conservazione dei dati trattati devono essere a disposizione dell’autorità di controllo
- gli obblighi di registro non si applicano ad aziende o imprese con meno di 250 dipendenti, salvo eccezzioni indicate nel regolamento
La sicurezza sulla conservazione dei dati personali.
La sicurezza viene attuata in base al rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
- ove si renda necessarrio deve essere implementata la pseudonimizzazione e la cifratura dei dati personali
- deve essere assicurata e garantita la sicurezza sui sistemi di archivizione dei dati personali
- si deve essere in grado di procedere al ripristino tempestivo alla disponibilità ed accesso dei dati archiviati in caso di problema tecnico o fisico
- implementare una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento
Il regolamento non specifica come deve essere svolta la procedura di archiviazione e trattamento degli archivi, compresi i sistemi di sicurezza da attuare, ma ne chiede l’esistenza.