Scopri a che punto è l'adeguamento della tua azienda nei confronti del GDPR

Sei pronto al GDPR?

Per una prima “autovalutazione” in merito alla conoscenza dell’argomento “PRIVACY” all’interno dell’azienda, con riferimento agli adempimenti previsti dal D.Lgs. 196/03 (“Codice privacy)”e dal nuovo Regolamento Europeo 2016/679 di prossima applicazione (noto anche come “GDPR” – General Data Ptotection Regulation), si propone la compilazione di ciascuna voce della seguente checklist per ricevere un’indicazione di massima circa la propria situazione in termini di esposizione ai rischi derivanti dalla mancata osservanza della normativa vigente, la cui violazione può comportare sanzioni amministrative (in particolare il nuovo Regolamento prevede che la violazione di alcune delle sue disposizioni comporti sanzioni amministrative pecuniarie fino a 20.000.000 Euro o, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore), ferme restando le responsabilità penali (che continueranno a derivare dalla normativa nazionale).

  • I dati oggetto di trattamento - I soggetti che effettuano il trattamento
  • La notificazione del trattamento, l'informativa ed il Il consenso dell'interessato.
  • La sicurezza dei dati
  • Il trasferimento dei dati in paesi terzi ed i doveri del titolare del trattamento in caso di esercizio dei diritti degli interessati (Art. 7).
  • In vista del Regolamento GDPR - UE 2016/679 di prossima applicazione

I dati oggetto di trattamento ed i soggetti che lo effettuano

È stata effettuata una valutazione circa le operazioni di trattamento di dati personali, effettuate dall'impresa (gestione dati di clienti e fornitori per finalità contabili-amministrative, acquisizione email di prospect per finalità di marketing, registrazione immagini tramite sistema videosorveglianza per tutela del patrimonio aziendale …)?

Sono state individuate le varie categorie di dati oggetto del trattamento?

I dati trattati sono pertinenti e non eccedenti rispetto alle legittime finalità del trattamento, oltre che esatti e aggiornati?

Esiste un “piano di cancellazione” dei dati con scadenze per la loro eliminazione o anonimizzazione?

Le persone fisiche che all'interno dell'impresa trattano dati personali sono state designate tutte quali "incaricate del trattamento"?

Sono state fornite a tutti gli "incaricati del trattamento" istruzioni scritte circa i propri compiti?

È stata fatta effettuata una valutazione per verificare se i soggetti che hanno ambiti di autonomia nel trattamento dei dati personali (come accade per i casi di outsourcing) siano da considerare titolari autonomi del trattamento, contitolari o "responsabili del trattamento"?

Sono stati predisposti accordi sul trattamento con i responsabili esterni?

Nel caso in cui un cliente nomini l’impresa come responsabile esterno del trattamento, sono state predisposte clausole privacy all’interno dei modelli contrattuali in uso?

La notificazione del trattamento, l'informativa ed il Il consenso dell'interessato.

Si è verificato, prima di intraprendere operazioni di trattamento, se l'impresa effettua i trattamenti da notificare al Garante ai sensi dell’art. 37 del Codice privacy (come nel caso della geolocalizzazione o della profilazione)?

È stata fornita l'informativa agli interessati?

Le informative sono state differenziate in base alle categorie di soggetti cui si riferiscono – richiedenti impiego, dipendenti, tirocinanti, fornitori e consulenti, clienti, amministratore di sistema, e a trattamenti di dati particolari o legati a servizi specifici, quali ad esempio newsletter e servizi offerti online, cookie relativi a siti web, videosorveglianza, etc?

Le informative contengono tutti gli elementi richiesti dalla normativa vigente?

Il trattamento dei dati personali viene effettuato in presenza di uno dei presupposti di liceità indicati all'art. 24 del Codice Privacy?

Se non ricorre uno dei presupposti di liceità indicati all'art. 24 del Codice Privacy, è stato raccolto il consenso dell'interessato?

Se sono trattati dati sensibili è stato raccolto il consenso scritto degli interessati?

Se sono trattati dati sensibili, è stato verificato se il trattamento rientra tra quelli già autorizzati dal Garante con le autorizzazioni generali e, in caso contrario, è stata richiesta al Garante un’autorizzazione ad hoc?

Se si effettuano più trattamenti che richiedono il consenso, si richiede specifica autorizzazione per ciascuno di essi?

L’interessato è messo nelle condizioni di decidere liberamente se prestare il consenso (caselle non preflaggate, possibilità di sottoscrivere il contratto anche senza autorizzare i trattamenti per finalità ulteriori, come ad esempio per fini di marketing)?

La sicurezza dei dati

Sono state adottate misure di sicurezza minime per proteggere i dati personali?

I sistemi informatici sono protetti da furti, trasmissioni involontarie o “occhi indiscreti”?

Esiste un elenco di tutti i fornitori/ partner che elaborano dati personali su ordine dell’azienda e/o sono incaricati alla manutenzione di sistemi IT?

Esiste un regolamento interno per l’utilizzo privato di e-mail ed internet nell’azienda?

Esiste una documentazione scritta per le misure tecniche ed organizzative?

L’assegnazione degli accessi ai dati viene regolarmente controllata?

Le misure di sicurezza IT di ogni fornitore coinvolto nella gestione dei dati personali vengono controllate prima dell’affidamento dell’incarico e viene richiesto il rilascio della dichiarazione di conformità ai sensi del punto 25 dell’allegato B del Codice privacy?

Il trasferimento dei dati in paesi terzi ed i doveri del titolare del trattamento in caso di esercizio dei diritti degli interessati (Art. 7).

Se i rapporti con Partner o fornitori e/o l’impiego di alcuni strumenti o servizi comporta il trasferimento di dati in Paesi extra UE, si effettuano previamente verifiche sulla sua liceità?

Il trasferimento avviene in presenza di una delle condizioni previste dall'art. 43 del Codice?

In presenza dell'esercizio del diritto d'accesso, sono state definite procedure, secondo le modalità previste dalla legge, per garantire l’esercizio dei diritti da parte degli interessati e la corretta gestione delle richieste?

In vista del Regolamento GDPR - UE 2016/679 di prossima applicazione

È stato verificato se l’impresa effettua trattamenti per cui deve nominare un Data Protection Officer (DPO)?

Sono in fase di revisione i rapporti contrattuali con i fornitori che rivestono la qualifica di responsabili del trattamento per definire nel dettaglio, secondo quanto previsto nel Regolamento, competenze e istruzioni specifiche?

Sono state avviate procedure di verifica delle informative adottate affinché le stesse siano facilmente accessibili e abbiano un linguaggio chiaro?

Nel caso di consenso al trattamento dei dati di minori, sono adottati accorgimenti per accertare che gli stessi abbiano conseguito i 16 anni e, se così non fosse, per acquisire l’autorizzazione al trattamento da parte di chi esercita la potestà genitoriale o tutoria?

Sono in fase di redazione i registri delle attività del trattamento?

Sono in fase di implementazione le misure tecniche e organizzative che garantiscono all’interessato l’esercizio dei diritti previsti nel Regolamento, quale, ad esempio, il diritto alla portabilità?

Sono state definite procedure per ottemperare all’obbligo di notifica di eventuali violazioni del sistema informatico?

Si è valutato se le misure di sicurezza in essere possono considerarsi adeguate al rischio?

In presenza di trattamenti che possono presentare rischi elevati l’impresa è in grado di svolgere una valutazione di impatto sulla protezione dei dati oggetto dei trattamenti da avviare?

È in essere un piano di formazione?

L’impresa è in grado di dimostrare l’adozione di misure tecniche e organizzative finalizzate ad assicurare l’applicazione del regolamento?

Grazie per la compilazione.
Verificheremo le informazioni inserite e la contatteremo al più presto!

Nome / Azienda

E-Mail

Ho preso visione dell’informativa privacy

Presto il consenso alla comunicazione dei dati a terzi indicati nell’informativa privacy