GDPR: NOVITÀ SUL TRATTAMENTO DEI DATI

GDPR in vigore dal 25 maggio 2018Dal 25 maggio 2018 sarà direttamente applicabile il nuovo regolamento europeo 2016/679 sul trattamento dei dati personali, noto come GDPR (General Data Protection Regulation).

Il GDPR si fonda sul principio di trasparenza che richiede alle aziende di condividere con i diretti interessati le modalità di utilizzo dei loro dati e di tutelarne la gestione e l’archiviazione.

Col GDPR vengono stabiliti criteri rigorosi per la raccolta dei dati personali e il loro trasferimento al di fuori dell’Ue; vengono fissate norme di comportamento in caso di data breach, cioè falle nel sistema di protezione dei dati; viene introdotta la figura del DPO (Data Protection Officer) all’interno delle grandi aziende e nei soggetti pubblici.

In cosa si traduce l’attuazione del regolamento per un hotel o una struttura ricettiva? In quanto aziende che trattano i dati personali quotidianamente (come documenti, indirizzi email, dati bancari) è fondamentale definire un piano d’azione prima di mettere in pratica il GDPR.

Prima di tutto occorre fare un’attenta analisi della situazione attuale: quali i dati raccolti? Quali le modalità? Quali le finalità? Quali i soggetti che li utilizzano?

Successivamente a questo tipo di analisi dettagliata, sarà necessario redigere una privacy policy coerente con l’utilizzo dei dati raccolti e utilizzare infrastrutture tecnologiche sicure per la gestione dei dati. La Privacy Policy deve contenere le seguenti informazioni:

  • Quali informazioni personali saranno raccolte.
  • Come e perché vengono raccolti i dati.
  • Come vengono usati i dati.
  • Come vengono protetti i dati.
  • Le terze parti, se ce ne sono, con accesso ai dati e le loro finalità di utilizzo.
  • Se e quali cookie vengono utilizzati.
  • In che modo gli utenti possono controllare qualsiasi aspetto dei loro dati.
  • Chi è il responsabile del trattamento dei dati e come contattarlo.
  • Se vengono usati o meno i dati per prendere decisioni automatizzate.
  • Qual è la base legale per il trasferimento dei dati.

Una volta adottate tutte le misure precauzionali e completata la Privacy Policy, sarà necessario verificare eventuali gap nel processo di raccolta dati, e pianificare le azioni di rimedio da intraprendere. Dovranno essere effettuati audit periodici e aggiornare procedure e informativa almeno con cadenza annuale.

Eventuali violazioni dei dati personali (data breach) dovranno necessariamente essere notificate al Garante Privacy e, se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, anche a tutti gli interessati.

La materia è certamente complessa e ricca di sfaccettature e in questo modo abbiamo voluto dare giusto una panoramica. Errequadro a breve organizzerà un evento formativo inerente il GDPR con esperti del settore che potranno chiarire tutti i dubbi. Seguiteci per avere informazioni sull’evento.