venerdì 11 maggio 2018

GDPR: La mia lista

Fioccano in questi giorni le liste delle cose da fare per il GDPR.

Oggi vedo che finalmente in molti stanno "abbassando i toni", come in questo articolo (segnalatomi da Franco Vincenzo Ferrari):
- https://www.ilfattoquotidiano.it/2018/05/02/nuovo-regolamento-privacy-i-dieci-comandamenti-per-non-cadere-nei-tranelli/4328293/.

Io l'avevo detto nel maggio 2016:
- http://blog.cesaregallotti.it/2016/05/pubblicato-il-nuovo-regolamento-privacy.html.

Ma non avevo considerato la vera grande novità del GDPR: le sanzioni milionarie. Questa è la vera grande novità. Il resto sono solo isterie di "studiosi" o "consulenti" che vogliono vendere mega progetti ai clienti spaventati (o che non hanno capito niente... gli studiosi e i consulenti... non i clienti).

A dirla tutta: il GDPR semplifica di molto rispetto alla 196.

A chi interessa, ecco la mia check list delle cose da fare:
  • nei casi previsti dall'articolo 37, designare un DPO; in tutti gli altri casi, individuare un "referente privacy" (anche se non obbligatorio); tutte le altre cose vanno fatte con questa persona (ed eventualmente con altre);
  • fare il registro dei trattamenti (il mio modello è il VERA privacy, reperibile da http://www.cesaregallotti.it/Pubblicazioni.html); nessuno chiede di scrivere tanti dettagli, ma di riportare solo i trattamenti e le finalità (e altri dettagli, come richiesto dall'articolo );
  • fare una valutazione del rischio relativa alla privacy (si può sempre usare il VERA privacy per iniziare);
  • nei casi previsti dall'articolo 35 e dei trattamenti più "rischiosi", fare una valutazione del rischio specifica per quei trattamenti (DPIA o PIA; sempre con il VERA privacy, per iniziare);
  • riesaminare l'applicazione territoriale;
  • aggiornare le informative, includendo i tempi di conservazione, le modalità di reclamo e, soprattutto, le nuove basi legali (articolo 6 paragrafo 1 del GDPR); togliere anche i riferimenti precisi alla normativa (non servono a niente);
  • togliere i consensi non più necessari e documentare (firme non necessarie) quelli necessari (non necessario richiederlo nuovamente); rendere chiaro e "separato" il consenso privacy;
  • verificare che gli interessati possano revocare il consenso "con la stessa facilità con cui è accordato";
  • ricordare che il GDPR richiede di rispondere alle richieste degli interessati entro un mese (meglio documentare un processo);
  • riesaminare tutti i contratti con i fornitori a cui si trasmettono dati personali e, se necessario, aggiornarli (questo è l'adempimento non tecnologico più pesante) con quanto previsto dall'articolo 28 (avevo già preparato una lista dei punti da prevedere a inizio 2017; oggi penso che dovrei modificarla solo lievemente: http://blog.cesaregallotti.it/2017/01/gdpr-e-nomina-dei-responsabili-privacy.html); da prestare attenzione ai fornitori che trasferiscono dati in Paesi extra-UE (in questi casi, applicare quanto previsto dagli articolo 44 e successivi, che consolidano cose già previste dalla precedente normativa);
  • riesaminare e, se necessario, aggiornare gli accordi con i con-titolari (ricordando anche qui di prestare attenzione ai trasferimenti extra-UE);
  • documentare, per esempio in un mansionario, quali trattamenti sono autorizzati a svolgere le aree aziendali (questo sarebbe un raffinamento di quanto riportato nel registro);
  • stabilire un processo di riesame periodico delle autorizzazioni assegnate per accedere ai dati personali (processo già previsto dalle misure minime del D. Lgs. 196, ma ora ancora più importante perché "sostituisce" le nomine agli incaricati insieme al punto precedente);
  • predisporre un regolamento privacy (che può anche essere esteso alla sicurezza delle informazioni) per tutto il personale e i collaboratori autorizzati a trattare i dati personali, con misure "generali" e, se il caso, con misure specifiche per alcuni trattamenti (p.e. manutenzione software, gestione contatti di un contact centre);
  • stabilire un processo di gestione degli incidenti con impatto sui dati personali (data breach, articoli 33 e 34);
  • controllare che i dati possano essere forniti agli interessati in "formato portabile"; nella maggior parte dei casi vuol dire prevedere l'esportazione in un formato strutturato, di uso comune e leggibile da dispositivo automatico (ossia un testo ASCII, una tabella csv o un pdf); in alcuni specifici mercati è invece necessario prevedere altre soluzioni;
  • prevedere la cancellazione dei dati quando è terminato il periodo di conservazione, ricordando che il principio della conservazione perché "non si sa mai" non è incluso nel GDPR, anzi... è sanzionato; questo è sicuramente l'adempimento tecnico più pesante;
  • stabilire un processo di audit interni per la privacy (testare, verificare e valutare).
Pubblicato da alle
Etichette:

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)