Quali sono gli elementi base di cui ho bisogno per essere a norma con la legge sulla privacy?

1) Registri delle attività di trattamento

documenti in cui vengono censiti tutti i trattamenti dei dati personali effettuati dall’azienda. I registri da predisporre secondo il GDPR sono due, ove l’azienda svolga i trattamenti ricoprendo entrambi i ruoli, altrimenti solo quello del ruolo specifico

– registro delle attività da titolare del trattamento

Registro delle attività di trattamento svolte direttamente dall’azienda (ovvero che ne determina modalità e finalità)

– registro delle attività da responsabile del trattamento

Va adottato se l’organizzazione tratta dati personali per conto di un altro titolare.

2) Nomine soggetti autorizzati (interni all’azienda) e formazione del personale

Tutti i soggetti che trattano dati sotto l’autorità aziendale, che sia nel ruolo di Titolare o di Responsabile del trattamento devono essere formalmente nominati nonché adeguatamente istruiti. Il personale deve pertanto ricevere il proprio documento di nomina e l’adeguata formazione sia in materia privacy sia sulle modalità di trattamento a cui si dovrà attenere.

3) Nomine per i responsabili esterni e dpa

Tutti i soggetti esterni all’azienda, che trattano dati personali per conto della stessa, devono essere nominati responsabili esterni del trattamento dati oppure è necessario siglare con loro un apposito DPA (Data Processing Agreement).

4) Informative per i soggetti interessati

Ogni azienda ha l’obbligo informare i soggetti interessati dei quali tratta i dati personali.

I soggetti interessati possono essere, a titolo esemplificativo: clienti, fornitori, dipendenti, consulenti, utenti delle app e dei siti web, iscritti alle newsletter.

Quali informazioni vanno fornite agli interessati?

• i dati di contatto del Titolare del trattamento;
• i dati di contatto del DPO (Data Protection Officer, se presente, o comunque di un referente privacy)
• la base giuridica del trattamento dati;
• l’intenzione, se presente, di trasferire i dati al di fuori dello Spazio Economico Europeo (SEE);
• il periodo di conservazione dei dati e/o il criterio utilizzato per stabilirlo;

i diritti dell’interessato.