Che cosa deve fare la tua azienda?
La tua azienda tratta dati personali?
Allora devi proteggere i diritti delle persone che forniscono i propri dati
Comunicazione
Usa un linguaggio semplice. Dì loro chi sei quando richiedi dei dati. Dì perché stai trattando quei dati, per quanto tempo verranno conservati e chi li riceve.Consenso
Ottieni il loro consenso esplicito per trattare i dati. Raccogli dati di minori per i social media? Controlla il limite d'età per il consenso dei genitori.Accesso e trasferibilità
Consenti alle persone di accedere ai propri dati e di affidarli a un’altra azienda.Avvisi
Informa le persone delle violazioni dei dati qualora vi sia il grave rischio che ciò avvenga.Eliminazione dei dati
Garantisci alle persone il “diritto all’oblio”. Elimina i dati personali di chi lo richiede, ma solo se ciò non compromette la libertà di espressione o la possibilità di svolgere ricerche.Profilazione
Se usi la profilazione per trattare le richieste di accordi giuridicamente vincolanti, come i prestiti, devi:- Informare i clienti;
- Assicurarti che sia una persona, non una macchina, a controllare il procedimento qualora la domanda venga rifiutata;
- Garantire al richiedente il diritto a opporsi alla decisione.
Marketing
Garantisci alle persone il diritto di rinunciare al marketing diretto che fa utilizza i loro dati personali.Salvaguardare i dati sensibili
Utilizza misure di salvaguardia aggiuntive per le informazioni circa la salute, l'appartenenza etnica, l'orientamento sessuale, le credenze religiose e politiche.Trasferimento dei dati al di fuori dell'UE
Concludi accordi giuridici qualora tu trasferisca i dati in paesi che non sono stati approvati dalle autorità dell’UE.Proteggi i dati fin dall’inizio
Prevedi dispositivi di sicurezza per la protezione dei dati nei tuoi prodotti e servizi fin dalle prime fasi dello sviluppo.
Controlla se hai bisogno di un addetto alla protezione dei dati
Non è sempre obbligatorio. Dipende dal tipo e dalla quantità di dati che raccogli, se il trattamento degli stessi è l’attività principale e se ciò avviene su grande scala.
- Ti occupi di trattamento dei dati personali per indirizzare la pubblicità attraverso i motori di ricerca sulla base del comportamento online delle persone.
- Invii ai tuoi clienti una pubblicità una volta all’anno per promuovere la tua attività legata alla tradizione alimentare locale.
- Sei un medico di base e raccogli dati sulla salute dei tuoi pazienti.
- Ti occupi di trattamento dei dati personali di tipo genetico e sanitario per un ospedale.
Registrazione dei dati
Le PMI devono registrare il trattamento dei dati solo se questo:
- Avviene abitualmente
- Rappresenta una minaccia per i diritti e le libertà delle persone
- Si occupa di dati sensibili o casellari giudiziali
Le registrazioni devono contenere:
- Il nome e i contatti dell’azienda
- Il motivo per il trattamento dei dati
- La descrizione delle categorie degli interessati e dei dati personali
- Le categorie di organizzazioni che ricevono i dati
- Il trasferimento dei dati a un altro paese o organizzazione
- Il limite di tempo per la rimozione dei dati, se possibile
Prevenire con valutazioni d’impatto
In certi casi possono essere richieste valutazioni d’impatto per il trattamento AD ALTO RISCHIO.
- Nuove tecnologie
- Trattamento automatico e sistematico e valutazione delle informazioni personali
- Controllo su larga scala di una zona accessibile al pubblico (ad esempio CCTV)
- Trattamento su larga scala di dati sensibili, come quelli biometrici
I costi in caso di non conformità
- Richiamo
- Ammonizione
- Sospensione dal trattamento dei dati
- Sanzioni
Fino a 20 milioni di € oppure il 4% del fatturato totale annuale
GDPR
