La conformità al GDPR è univoca per ciascuna organizzazione che raccoglie i dati, li gestisce, li analizza e li utilizza. Tutte le organizzazioni devono essere focalizzate sull’utilizzo di questi dati nel rispetto della legge e sulla loro protezione con gli stessi standard con cui proteggono le informazioni riservate.
Il GDPR ha dei principi fondamentali:
- Ogni azienda dovrà conoscere i propri dati;
- Ogni azienda dovrà gestire i dati con regole e procedure stabilite per offrire imparzialità e trasparenza ai clienti/fornitori;
- Ogni azienda dovrà proteggere i dati attraverso l’implementazione di sistemi di controllo di sicurezza, misure software specifiche e la crittografia;
- Ogni azienda dovrà limitare l’utilizzo del dato allo stretto necessario e garantire il diritto ad essere dimenticati da parte del cliente;
- Ogni azienda dovrà documentare i processi ed il ciclo vita del dato, riportando qualsiasi problema o violazione in base a linee guida della normativa;
- Ogni azienda dovrà nominare un responsabile della protezione dei dati competente, in grado di relazionarsi con la proprietà aziendale;
- Ogni azienda dovrà iniziare un percorso che si evolverà e migliorerà negli anni, in un’ottica di adeguamento continuo. E’ un processo di gestione e monitoraggio.
Anche se la normativa è la stessa, i modi in cui si raccolgono, gestiscono, usano e proteggono i dati sono diversi tra le aziende. La tipologia di dati sono diversi: gli indirizzi IP (identificano l’azienda), il nome e cognome, le informazioni di contatto, i database dei fornitori/clienti, le schede dell’assistenza clienti, i contratti, i dati della posizione, le riprese video, i documenti d’identità, le carte di credito, i cedolini paga dei dipendenti, le informazioni sanitarie, i dati finanziari riservati ed altri ancora.
Con la violazione al GDPR possono essere applicate sanzioni significative, l’importo massimo della multa infatti è 20 milioni di euro oppure il 4% del fatturato.
Considerate la sanzioni previste, il titolare dovrebbe ricorrere unicamente a responsabili che presentino garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse. Inoltre dovrà fornire loro dettagliate istruzioni scritte in ordine alle modalità del trattamento. Va detto ed evidenziato che il responsabile risponderà in solido con il titolare per l’intero ammontare nell’eventualità di un danno cagionato da un trattamento non conforme alla normativa. A meno che non dimostri che l’evento dannoso non gli è in alcun modo imputabile e prova di aver adottato tutte le misure idonee ad evitarlo.
Se poi il titolare deciderà di esternalizzare il servizio a terzi in modo totale o parziale, dovrà tener conto che ciò non implica alcuna deresponsabilizzazione per lo stesso, ma risponderà direttamente per ciò che gli compete in ordine alla normativa delle proprie attività di trattamento dati.
La tua azienda non è ancora in conformità per il GDPR ed ha bisogno di un registro digitale certificato per sviluppare il censimento dei dati nel rispetto della normativa?