Da un anno sei conforme al GDPR… ma va ancora tutto bene?

Gli obblighi del GDPR dovrebbero essere stati implementati, in tutte le aziende che elaborano dati personali, sin dal maggio 2018. Sei riuscito a fare tutto in tempo? Ottimo! Ma com’è messa ora la tua conformità al GDPR? La domanda ti sembra forse strana ma, una volta implementato, il sistema non è autoregolante. Quindi, che cosa puoi fare per controllare che i tuoi processi e la tua azienda siano ancora conformi al Regolamento?

Ancora conforme al GDPR?

I 4 punti più importanti che devi ricordare

Da quando ti sei adeguato al GDPR, possono essersi verificati dei cambiamenti: possono essere state introdotte regole aggiuntive al GDPR; la tua azienda è cresciuta nel frattempo e hai acquisito un nuovo sistema IT poiché quello vecchio è diventato obsoleto; oppure hai assunto del personale nuovo che non ha partecipato alla formazione iniziale sul GDPR. Vedi che, in tutti o solo alcuni ambiti, potrebbe diventare un problema? Quindi, che cosa dovresti fare?

Le cose importanti sono:

  • Una revisione regolare (Checkup) e un’analisi dei tuoi processi.
  • L’introduzione di un sistema di data-management.
  • La formazione regolare di tutti i dipendenti.
  • Effettuare un Audit cosi come da articolo 42 del GDPR.

Checkup e analisi dei tuoi processi

Una volta adeguati al GDPR, i tuoi processi dovrebbero funzionare. Nella maggior parte dei casi, però, non lo fanno senza intoppi, poiché solo nella pratica si evidenziano i punti da ottimizzare. Ciò accade anche se le bozze di procedure sembrano, nella teoria, perfette e funzionanti. Infatti, non appena i dipendenti li implementano nella loro routine quotidiana di lavoro, notano quali criticità non sono ancora state risolte in modo soddisfacente.

Spesso, queste cose si notano quando si deve elaborare un caso particolare, che si verifica raramente e che, a quel punto, non è semplice da gestire. Questo riscontro è molto utile e ti permette di aggiustare i punti non perfettamente funzionanti.

Oltre ai riscontri dei tuoi collaboratori, anche il responsabile per la protezione dei dati (RPD) deve esaminare costantemente questi processi e proporre modifiche e miglioramenti. Perché lui è, in base all’articolo 39 GDPR, incaricato di “sorvegliare l’osservanza del regolamento”.

Pertanto, è utile lavorare in modo attivo all’analisi dei processi aziendali e assicurarti di ciò su cui puoi intervenire rapidamente, prima che si possa verificare una violazione dei dati.

Introduzione di un sistema sostenibile della gestione dei dati (DMS)

L’analisi e il controllo sono buone opzioni per te, ma non dovrebbero essere eseguite a intermittenza, magari solo quando ti capita, per caso, di avere un pò di tempo. Pertanto è meglio, oltre che ad essere previsto dal GDPR, introdurre un sistema di gestione dei dati sostenibile.

Per il GDPR ciò significa, per esempio, che oltre all’incaricare un Responsabile per la protezione dei dati (RPD), anche le tue misure tecniche e organizzative, ai sensi dell’articolo 32 GDPR, siano costantemente aggiornate.

Devi rispettare il tuo obbligo di prova, tenendo un registro di tutte le attività di trattamento, ai sensi dell’articolo 30 GDPR. Inoltre, in conformità con l’articolo 35 del GDPR, è necessario preparare una valutazione d’impatto sulla privacy, in cui si esaminano attentamente i rischi e le conseguenze delle misure di trattamento previste.

È anche importante che organizzi adeguatamente la tua gestione dei contratti. Se consenti ai tuoi fornitori di servizi di elaborare i dati dei tuoi clienti o dipendenti, assicurati di stipulare prima un contratto con tali fornitori per questi trattamenti, come ai sensi dell’articolo 28 del GDPR. Il contratto deve garantire che il fornitore adotti le misure tecniche e organizzative adeguate al fine di salvaguardare i diritti delle persone interessate.

Formazione regolare di tutti i dipendenti

Tutti i dipendenti coinvolti nel trattamento dei dati personali devono essere formati in modo continuo. Poiché devi prestare attenzione al fatto che nella tua azienda in nessun posto di lavoro s’ignori la protezione dei dati, è importante che tutti i dipendenti siano sensibilizzati allo stesso livello.

La formazione costante dei collaboratori ti aiuta anche nel caso in cui tu debba spostare o sostituire qualche dipendente con breve preavviso. In questa situazione non ti puoi permettere che il sostituto non abbia mai sentito parlare della privacy. Per inciso, la formazione continua e la formazione degli impiegati sono comunque essenziali per la tua azienda, non solo nel contesto del GDPR.

I corsi di formazione sono solitamente organizzati dal Responsabile per la Protezione dei Dati, anche se non è obbligato a tenerli personalmente. Ci sono specialisti che svolgono questa formazione in loco. Ma puoi anche utilizzare la formazione online oppure le offerte della Camera di Commercio o dell’Industria locale.

È quindi necessario documentare la partecipazione a questi corsi di formazione come parte della prova e della responsabilità ai sensi dell’articolo 5 GDPR.

Esecuzione di un audit conforme al GDPR (art.42)

Per dimostrare ai tuoi clienti e fornitori che, da te, i dati si trovano in buone mani perché li gestisci in modo responsabile e perché rispetti gli obblighi del GDPR, è utile e positivo se puoi esibire una certificazione. Tale certificazione è ottenibile, conformemente alle disposizioni del GDPR (art. 42), da un organismo di certificazione accreditato (art. 43 DGPR).

La certificazione deve essere volontaria e accessibile attraverso un processo trasparente e non ti esonera dalla responsabilità di rispettare gli obblighi del GDPR. Per questi audit devi fornire all’organismo di certificazione tutte le informazioni necessarie. La certificazione ha una validità di 3 anni e può essere rinnovata se continui a mantenere gli stessi standard (per ulteriori informazioni riguardo la certificazione, leggi il nostro articolo “Codice di condotta e certificazioni di qualità per osservare gli obblighi del GDPR”)

In linea di principio, questi audit non sono una novità perché sono già stati effettuati in passato, sotto il nome di “Data Protection Audit”, al fine di verificare e dimostrare la conformità dell’azienda con il codice della privacy. La procedura oggi e simile: attraverso l’uso di uno specifico questionario vengono controllati e provati i processi della tua azienda.

Ad esempio, viene controllato com’è strutturata la tua organizzazione e come è fatto il tuo piano di protezione dei dati. Ma anche il controllo degli accessi per le persone non autorizzate o l’accesso fisico ad ambienti e il controllo degli accessi ai PC sono esaminati attentamente. E, ovviamente, va controllato se sei obbligato a incaricare un Responsabile per la Protezione dei Dati (RPD) e se tale figura, nel caso, esiste.

Come puoi mantenere il focus su tutto?

L’implementazione del GDPR nelle aziende è stato un grande sforzo per titolari e dipendenti. La revisione e il controllo regolare pongono ora nuove sfide a tutti. In fin dei conti, nessuno vuole rischiare accidentalmente una multa salata perché qualcosa è stato ignorato – almeno finché non è troppo tardi.

GDPR-Audit per mantenere il controllo

Quindi, ha senso cercare un aiuto professionale. Noi, con il nostro team di esperti, affrontiamo ogni sfida. Il nostro personale competente è disponibile in qualsiasi momento e ti aiuta con l’analisi dei tuoi processi, con gli adeguamenti necessari e con la formazione dei tuoi dipendenti. Siamo felici di consigliarti sui nostri servizi, supporti e prodotti.