PRIVACY 2018 (GDPR) – TRATTAMENTO DATI CLIENTI IN ALBERGO: E’ TRATTAMENTO “TRANSFRONTALIERO”…
9 Aprile 2018LA PRIVACY IN HOTEL
21 Maggio 2018Di seguito la “road map” per un’azienda che voglia presentarsi al 25 maggio con i “compiti fatti” ed essere in perfetta “compliance” con il GDPR:
1) RECUPERARE TUTTI I DOCUMENTI ESISTENTI RELATIVI ALLA PRIVACY ED ALLA DATA PROTECTION “ANTE GDPR”. ANALIZZARE QUESTI DOCUMENTI ADEGUANDOLI AI NUOVI REQUISITI, che non annullano quelli passati ma li integrano con importanti nuovi requisiti.
2) ESEGUIRE UNA MAPPATURA DEI TRATTAMENTI: chiediamoci, quindi:
a)che dati trattiamo e di chi?
b)per quali finalità?
c)con quali strumenti?
d)come li trattiamo?
e)chi vi ha accesso?
f)dove sono fisicamente?
g)dove sono i backup (sono in UE, extra UE..)?
h) ecc.
ne consegue la redazione del:
3) REGISTRO DI TRATTAMENTI (anche se non strettamente obbligatorio per le imprese sotto i 250 dipendenti, il Garante Italiano nella propria Guida al Gdpr ha raccomandato alle aziende italiane di farlo, quale primo segno concreto di responsabilità : non è un impegno trascendentale ed è il primo buon “biglietto da visita” in caso di verifiche).
Tale registro altro non è che la raccolta scritta di tutti i trattamenti mappati, come oggi prevede il GDPR (art. 30)
4) VALUTAZIONE DEI RISCHI:
effettuare cioè un analisi di quali possano essere i rischi connessi ai trattamenti mappati e le misure da adottare. In termini di:
a)sicurezza dei dati trattati e delle procedure di trattamento
b)controllo degli accessi
c)backup dei dati
d)disaster recovery plan
e) ecc.
A fronte di trattamenti dei dati ad elevata rischiosità, decidere, eventualmente, di svolgere una:
5) VALUTAZIONE DI IMPATTO (Data Protection Impact Assessment) DEI TRATTAMENTI AD ELEVATA RISCHIOSITA’ (art. 35 GDPR)
e se gli impatti restano elevati nonostante le misure individuate dopo la DPIA (ma è cosa assai rara e “riservata” ad aziende che fanno uso massimo dei dati per profilare gli utenti, per esempio…), ricorrere ad una
6) CONSULTAZIONE PREVENTIVA DEL GARANTE (posto che, in mancanza di tale consultazione preventiva, l’alternativa sarebbe solo quella di desistere dall’effettuare i trattamenti).
7) VERIFICA DELLE TERZE PARTI che trattano i dati per nostro conto (tutti i consulenti aziendali esterni: il commercialista, il consulente del lavoro, l’avvocato, l’amministratore di sistema, ecc.) previa valutazione della loro affidabilità (dimostrabile), ottenendone altreì impegni e responsabilità mediante la
8) REDAZIONE DEL CONTRATTO CON IL/I RESPONSABILE/I DEL TRATTAMENTO
e successiva messa in atto di una procedura per verificare che anche il/i Responsabile/i del trattamento faccia/no lo stesso con i rispettivi sub-Responsabili.
9) ASSUMERE UN ABITO, UNA PREDISPOSIZIONE, A CONSIDERARE LA PRIVACY, LA PROTEZIONE DEI DATI PERSONALI, QUALE COMPONENTE BASE DELLA NOSTRA ATTIVITA’, QUALUNQUE ESSA SIA, FIN DALL’AMBITO PROGETTUALE DI OGNI NUOVO SERVIZIO O PRODOTTO (c.d. Privacy BY DESIGN E BY DEFAULT)
Se sei un’azienda o un professionista e necessiti di assistenza o consulenza, contattami ai recapiti che trovi qui o sulla home page del sito, anche solo per un preventivo.
Nel fornire la consulenza mi avvalgo, oltre che dei miei collaboratori di studio, anche delle competenze tecniche di un consulente IT, selezionato per la comprovata esperienza nel campo della Data Protection e della certificazione di qualità.
Avv. Francesco Cucci
alcuni altri miei contributi sull’argomento:
