L’ICO, Information Commissioner’s Office, ente pubblico inglese deputato a supportare aziende e cittadini sugli aspetti collegati alla Privacy, ha pubblicato una Checklist con 12 semplici passi e relative istruzioni per affrontare il Regolamento Europeo sulla protezione dei dati personali (GDPR), in previsione della sua entrata in vigore da metà 2018.
Di seguito i 12 passi consigliati da ICO.
- Consapevolezza. Assicurarsi che i vertici e i responsabili chiave dell’organizzazione siano consapevoli della trasformazione avvenuta a livello normativo, in modo da anticipare l’impatto della GDPR.
- Dati personali in possesso. Documentare quali sono ad oggi i dati personali gestiti in azienda, da dove provengono e con chi sono condivisi. Considerare l’opportunità di un audit sui dati.
- Comunicare l’Informativa sulla Privacy. Ogni azienda deve attrezzarsi per comunicare agli utenti quale è la propria policy sulla Privacy, tenendo presente che rispetto a quanto comunicato finora dovrà essere modificato per tener conto dei nuovi requisiti richiesti dalla GDPR una volta entrata in vigore.
- Diritti degli Individui. Le procedure interne all’organizzazione devono essere riviste per assicurarsi di poter garantire tutti i diritti che gli individui avranno con la GDPR.
- Richieste di accesso/modifiche ai dati. Le aziende devono preoccuparsi di rivedere le procedure per essere in grado di rispondere ad eventuali richieste di accesso/modifiche ai dati personali da parte degli utenti, per poterlo fare nei tempi previsti dalla GDPR, fornendo anche agli utenti tutte le informazioni.
- Basi giuridiche relative all’elaborazione dei dati. Vanno riviste le attività di trattamento dei dati e deve essere identificata e documentata la base giuridica per ogni tipo di attività di elaborazione dei dati.
- Consenso. Va rivisto come l’organizzazione cerca, ottiene e tiene traccia del consenso, valutando quali sono le modifiche da apportare.
- Bambini. La GDPR richiederà lo sviluppo di nuovi sistemi per verificare l’età degli individui e per raccogliere, nel caso, il consenso dei genitori o di un tutore per l’attività di elaborazione dei dati di minori.
- Data Breaches. Bisognerà verificare di avere in atto le misure adeguate per individuare, segnalare e investigare eventuali violazioni dei dati.
- Data Protection by Design, Data Protection Impact Assessments (DPIA). Le aziende devono cominciare a familiarizzare con valutazioni d’impatto sulla Privacy, ad esempio con le linee guida prodotte dall’ICO sui Privacy Impact Assessments (PIA), decidendo come e quando metterle in atto.
- Data Protection Officer. Designare un responsabile della protezione dei dati, se necessario, o qualcuno che si assume la responsabilità del rispetto delle norme sulla protezione dei dati.
- Presenza Internazionale. Se l’organizzazione opera a livello internazionale, stabilire a quale autorità di vigilanza sulla protezione dei dati dovrà far riferimento.
