In qualità di esperto di privacy di lunga data, capisco che la conformità al Regolamento generale sulla protezione dei datiGDPR) può mettere a dura prova le piccole imprese.
Ignorarlo può portare alla perdita di fiducia dei clienti, a problemi legali e a potenziali multe. Tuttavia, con il giusto approccio, è possibile gestire la conformità al GDPR senza un team legale o un budget elevato.
In questa lista di controllo, vi illustro i requisiti del GDPR e vi fornisco i passi da seguire per la vostra piccola impresa per iniziare a conformarsi.
Lista di controllo GDPR per le piccole imprese
Di seguito trovate la mia lista di controllo GDPR per le piccole imprese con i link alle sezioni pertinenti della legge per semplificare i vostri sforzi di conformità.
Fase 1. Comprendere le proprie responsabilità
Prima di agire, stabilite se e come il GDPR si applica alla vostra azienda.
Verificate se il GDPR si applica alla vostra piccola impresa.
Se la vostra azienda si trova nell'Unione Europea (UE) o nello Spazio Economico Europeo (SEE), o se avete sede altrove ma raccogliete dati personali di persone nell'UE/SEE, dovete rispettare il GDPR (Capitolo 1, Articolo 3).
Sapere se si è responsabili o incaricati del trattamento dei dati.
Il GDPR classifica le aziende come responsabili o incaricati del trattamento: Un responsabile del trattamento determina come e perché i dati vengono raccolti, mentre un incaricato del trattamento tratta i dati per conto del responsabile del trattamento(Capitolo 1, Articolo 4).
Determinare se avete bisogno di un responsabile della protezione dei dati (DPO).
Il DPO viene nominato da un'azienda per garantire il rispetto delle leggi sulla protezione dei dati(capitolo 4, articolo 37).
Il GDPR richiede un DPO per le aziende che:
- Sono organizzazioni governative o pubbliche.
- Gestire informazioni sensibili su larga scala.
Ad esempio, se gestite un ospedale, è probabile che abbiate bisogno di un DPO a causa della frequente elaborazione dei dati dei pazienti, come le cartelle cliniche, l'anamnesi e l'identificazione dei pazienti.
Questo tipo di dati è classificato come sensibile e la loro elaborazione richiede una maggiore protezione per salvaguardare la privacy dei pazienti.
Fase 2. Effettuare una verifica della privacy sul proprio sito web
Una verifica della privacy indica quali dati vengono raccolti, dove vengono archiviati e come vengono condivisi.
Conoscere i dati raccolti e dove vengono archiviati.
Identificare tutti i dati personali raccolti dall'azienda, compresi i dettagli dei clienti e i dati analitici.
Determinare la base legale per la raccolta dei dati.
Secondo il GDPR, le aziende devono avere una base legale per la raccolta e l'utilizzo dei dati personali. Per garantire la conformità, è necessario documentare la base legale per ogni tipo di dati raccolti(Capitolo 2, Articolo 6).
Le sei basi giuridiche previste dal GDPR sono:
- Consenso: Gestite una newsletter e chiedete agli utenti di fornire il proprio indirizzo e-mail per future comunicazioni di marketing.
- Obblighi contrattuali: Gestite una società di software e raccogliete i dati degli utenti per adempiere ai termini di un contratto di abbonamento o di servizio.
- Obblighi legali: In qualità di consulente fiscale, raccogliete le informazioni dei clienti per ottemperare ai requisiti di legge per la presentazione delle imposte.
- Interessi vitali: Se siete un operatore sanitario, raccogliete dati medici per proteggere gli interessi vitali dei vostri pazienti durante il trattamento di emergenza.
- Compito pubblico: se siete un'agenzia governativa, raccogliete dati personali per svolgere funzioni necessarie per il bene pubblico.
- Interessi legittimi: In qualità di negozio al dettaglio, raccogliete i dati per scopi di marketing, presupponendo che i clienti abbiano un rapporto esistente con la vostra azienda.
Fase 3. Ottenere il permesso di raccogliere e utilizzare i dati
Se il consenso è la vostra base giuridica per il trattamento dei dati dei consumatori, dovete ottenere un consenso esplicito e legale dagli utenti prima di raccogliere i loro dati personali.
Chiedete un chiaro consenso di tipo opt-in.
È necessario chiedere il consenso utilizzando un "linguaggio chiaro e semplice"(Capitolo 2, Articolo 7 e Capitolo 3, Articolo 12). Gli utenti devono acconsentire attivamente alla raccolta dei dati (ad esempio, attraverso un banner diconsenso ai cookie ).
Consentire alle persone di ritirare il proprio consenso in qualsiasi momento.
Gli utenti devono essere informati del loro diritto di recesso prima di acconsentire, e il recesso deve essere facile come il consenso(Capitolo 2, Articolo 7).
Il vostro sito web deve offrire agli utenti un modo semplice per richiedere una copia dei propri dati, chiedere la cancellazione dei dati e modificare le proprie preferenze(capitolo 3, articolo 15 e articolo 17).
Passo 4. Creare un banner di consenso conforme
Un banner di consenso ai cookie GDPR informa i vostri clienti sulla raccolta dei dati e consente loro di scegliere prima che i cookie vengano memorizzati sui loro dispositivi.
Il banner di consenso dovrebbe:
- Indicate chiaramente che il vostro sito web utilizza i cookie.
- Spiegare lo scopo della raccolta dei dati (ad esempio, analisi, marketing).
- Fornite un link alla vostra politica sui cookie e alla politica sulla privacy.
Offrire scelte chiare
È necessario consentire agli utenti di accettare tutti i cookie, rifiutare tutti i cookie non essenziali e personalizzare le proprie preferenze in materia di cookie. Le caselle pre-selezionate non sono consentite ai sensi del GDPR (considerando 32).
Passo 5. Conservare i registri del consenso e del trattamento dei dati
Il GDPR richiede di documentare il consenso dell'utente, che le autorità possono richiedere(capitolo 4, articolo 30).
Registrare correttamente il consenso dell'utente
Conservare le registrazioni che includono quando e come è stato ottenuto il consenso, cosa è stato detto agli utenti al momento del consenso e qualsiasi aggiornamento delle preferenze.
Mantenere un registro di elaborazione dei dati
Il registro del trattamento dei dati deve includere
- Tipi di dati raccolti.
- Finalità del trattamento.
- Luoghi di archiviazione dei dati.
- Eventuali accordi di condivisione dei dati con terze parti.
La gestione del consenso Platform di gestione del consenso Platform (CMP) di Termlyvi aiuta ad affrontare questi compiti consentendovi di acquisire, gestire e archiviare i record di consenso degli utenti.
Passo 6. Pubblicare e mantenere una politica sulla privacy chiara e accessibile
Una politica sulla privacy GDPR garantisce la trasparenza sul modo in cui la vostra piccola impresa gestisce i dati personali, includendo le componenti chiave della privacy(Capitolo 3, Articolo 13 e Articolo 14). Assicuratevi che l'informativa sulla privacy sia facilmente accessibile sul vostro sito web.
l'informativa sulla privacy deve indicare chiaramente quanto segue:
- Identità e dati di contatto del responsabile del trattamento dei dati o dell'impresa
- Dati di contatto del responsabile della protezione dei dati (DPO), se applicabile
- Finalità e base giuridica del trattamento
- Categorie di dati personali raccolti
- Destinatari dei dati
- Trasferimenti internazionali di dati
- Politica di conservazione dei dati
- Diritti degli interessati e modalità di esercizio
Fase 7. Garantire la conformità con i responsabili del trattamento dei dati
Ai sensi del capitolo 4, articolo 28, i responsabili del trattamento dei dati (la vostra azienda) devono avere un contratto legalmente vincolante con gli eventuali responsabili del trattamento dei dati (fornitori terzi che trattano i dati per vostro conto).
Questo contratto è noto come Accordo per il trattamento dei dati (DPA).
Ad esempio, se gestite un'agenzia di marketing che utilizza piattaforme di email marketing di terzi per l'invio di newsletter, avrete bisogno di un DPA.
La piattaforma elabora dati personali, come i nomi dei clienti, gli indirizzi e-mail e potenzialmente altre informazioni come i dati demografici.
La DPA delinea le responsabilità della piattaforma per la salvaguardia di tali dati, specificando come possono essere utilizzati, archiviati e protetti.
Stabilire un DPA che delinei:
- Ambito e finalità del trattamento dei dati
- Obblighi di riservatezza
- Misure di sicurezza
- Requisiti del subprocessore
- Come vengono gestiti i dati in caso di cessazione della partnership
- Disposizioni in materia di audit e conformità
Fase 8. Requisiti di sicurezza dei dati
Inserite la privacy e la sicurezza nei vostri processi aziendali per proteggere i dati personali da accessi non autorizzati, perdita o uso improprio(Capitolo 4, Articolo 25 e Articolo 32).
Garantire i sistemi e i processi:
- Ridurre al minimo la raccolta dei dati
- Limitare l'accesso
- Utilizzare la crittografia e la pseudonimizzazione
- Garantire un monitoraggio continuo della sicurezza
- Consentire il controllo da parte dell'utente
Incorporando queste salvaguardie, le aziende rispettano i principi della privacy by design e riducono il rischio di violazione dei dati.
Fase 9. Rivedere e aggiornare regolarmente le misure di conformità
La conformità al GDPR è un processo che richiede aggiornamenti regolari e l'onere della prova è a carico dell'azienda.
Effettuare controlli periodici di conformità.
Esaminare il processo di consenso ai cookie , l'informativa sulla privacy e gli accordi con le terze parti.
Rimanere informati sui requisiti del GDPR è essenziale per garantire che la vostra piccola impresa rimanga conforme alle nuove indicazioni che emergono.
l'impatto del GDPR sulle piccole imprese
In seguito, analizzerò più da vicino l'impatto del GDPR sulle piccole imprese, in modo che possiate comprendere, utilizzare e applicare più facilmente la lista di controllo.
Che cos'è il GDPR?
Il GDPR è una legge sulla privacy che regolamenta le modalità di raccolta, archiviazione e utilizzo dei dati personali delle persone nell'UE/SEE.
Ambito di applicazione del GDPR
Tutte le aziende dell'UE/SEE devono conformarsi al GDPR.
Anche le aziende al di fuori dell'UE/SEE devono conformarsi se offrono beni o servizi a persone nell'UE/SEE o monitorano il loro comportamento.
Requisiti GDPR per le piccole imprese
Per la vostra piccola impresa, la conformità al GDPR comporta diversi requisiti fondamentali:
- Create un'informativa sulla privacy che includa quali dati personali raccogliete, perché li raccogliete, per quanto tempo li conservate e i diritti degli utenti sulle loro informazioni.
- Se la base giuridica è il consenso, prima di raccogliere i dati è necessario ottenere un chiaro consenso da parte degli utenti, visualizzando un banner di consenso che consenta agli utenti di accettare, rifiutare o modificare i cookie.
- Stabilite un accordo di trattamento dei dati (DPA) con qualsiasi fornitore che elabora i dati per vostro conto e che riguarda l'ambito del trattamento, la riservatezza, la gestione dei dati e altro ancora.
Le migliori pratiche GDPR per le piccole imprese
Raccomando le seguenti best practice alle piccole imprese che intendono GDPR:
- Stabilite se il GDPR si applica alla vostra azienda prima di agire.
- Eseguite una verifica della privacy per identificare quali dati personali raccogliete, dove vengono archiviati e come vengono condivisi.
- Conoscete la vostra base giuridica per la raccolta dei dati e informate gli utenti con una nota sulla privacy conforme.
- Rivedete e aggiornate le vostre politiche sui cookie e sulla privacy.
Per semplificare gli sforzi di conformità, collaborate con Termly per pubblicare e rivedere regolarmente la vostra informativa sulla privacy e il banner di consenso.
Multe e sanzioni per la violazione del GDPR
Il regolamento prevede due livelli di ammende a seconda della gravità della violazione al capitolo 8, articolo 83:
- Fino a 10 milioni di euro o al 2% del vostro fatturato annuo globale (a seconda di quale sia il valore più alto) per violazioni meno gravi, come la mancata tenuta di registri adeguati delle attività di trattamento dei dati.
- Fino a 20 milioni di euro o al 4% del vostro fatturato annuo globale (a seconda di quale sia il valore più alto) per violazioni più gravi, come il mancato ottenimento di un consenso valido per la raccolta dei dati o l'inosservanza dei diritti degli interessati.
Queste sanzioni sono state concepite per garantire la serietà della protezione dei dati e il mantenimento di una forte conformità al GDPR.
Conformità SOC 2
System and Organization Controls 2 (SOC 2) è un quadro di conformità volontario creato dall'American Institute of Certified Public Accountants (AICPA).
Anche se non è richiesto dal GDPR, la sua adozione dimostra il vostro impegno per la protezione dei dati.
La conformità SOC 2 viene in genere verificata attraverso un audit indipendente e il rapporto può essere condiviso con i clienti per creare fiducia e mostrare trasparenza.
Per ulteriori informazioni, visitate la pagina SOC2 dell'AICPA.
Consigli di conformità per le piccole imprese
Rimanere conformi al GDPR e ad altre leggi sulla privacy dei dati può essere impegnativo, soprattutto per le piccole imprese con risorse limitate.
Ecco i miei consigli pratici per assicurarvi di essere sulla strada giusta:
- Suggerimento 1: utilizzare le soluzioni di Termly. l'utilizzo di strumenti e generatori online come Termlygeneratore di informativa sulla privacy vi aiutano a risparmiare tempo e a soddisfare i requisiti di legge.
- Suggerimento 2: Limitare i dati raccolti. Raccogliete solo i dati necessari, come richiesto dal GDPR. Limitatevi a raccogliere i dati necessari per raggiungere le finalità specifiche espresse ai consumatori nella vostra informativa sulla privacy GDPR .
- Suggerimento 3: implementare forti misure di sicurezza. La protezione dei dati dei vostri clienti è richiesta dal GDPR, quindi investite in misure di sicurezza come crittografia, firewall e password sicure per ridurre le probabilità di violazione.
- Suggerimento 4: consultare un esperto di privacy dei dati. Se non siete sicuri delle specifiche di conformità, prendete in considerazione la possibilità di parlare con un esperto di privacy dei dati. Questi può guidarvi attraverso il processo, soprattutto se alla vostra piccola impresa si applicano più leggi.
Questi suggerimenti possono rendere la GDPR più gestibile e dimostrare l'impegno della vostra piccola impresa a proteggere i dati dei clienti.
Come Termly aiuta le piccole imprese nella conformità al GDPR
Sappiamo che la gestione della conformità può essere impegnativa, soprattutto per le piccole imprese che dispongono di minori risorse, ed è per questo che offriamo soluzioni che aiutano a soddisfare i requisiti del GDPR .
Con il nostro generatore di informativa sulla privacyè possibile creare un'informativa sulla privacy personalizzata e legalmente supportata che include clausole in linea con gli standard del GDPR .
La nostra gestione del consenso Platform di gestione del consenso Platform (CMP) consente di impostare facilmente un banner di consenso ai cookie GDPR e di registrare le preferenze in modo da poter gestire e tracciare il consenso degli utenti in modo efficace.
È inoltre dotato di un modulo gratuito per la richiesta di accesso ai dati (DSAR), in modo da poter offrire un modulo che consenta agli utenti di presentare facilmente richieste di accesso, correzione, cancellazione o trasferimento dei propri dati personali.
Per maggiori dettagli, esplorate la suite di soluzioniGDPR di Termlye fate il primo passo per garantire che la vostra azienda sia attrezzata per gestire il GDPR e altre normative sulla privacy dei dati.
Lo capisco: la conformità al GDPR può sembrare un'impresa ardua da portare avanti.
Tra la gestione del consenso ai cookie, l'aggiornamento dell'informativa sulla privacy e la garanzia di una corretta gestione dei dati degli utenti, è facile sentirsi bloccati.
Ma non dovete affrontarlo da soli.
Con Termly, potete automatizzare il lavoro pesante, dall'impostazione di un banner di consenso alla generazione di policy e alla gestione delle preferenze degli utenti, in modo da potervi concentrare sulla gestione della vostra attività.
Disclaimer: strumenti automatizzati come Termly possono semplificare la conformità, ma è bene consultare un professionista legale per garantire l'allineamento con i requisiti sfumati del GDPR.
Per saperne di più su chi scrive
Scritto da Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha è una specialista in sicurezza delle informazioni e trattamento dei dati nonché Certified Data Protection Officer. Negli ultimi sei anni ha lavorato come Data Protection Officer, aiutando piccole e medie imprese a raggiungere la conformità legale. È stata anche mentore della conformità alla privacy per molti acceleratori d'impresa internazionali. È specializzata nell'implementazione, nel monitoraggio e nella verifica della conformità aziendale alle normative sulla privacy (HIPAA, PIPEDA, Direttiva ePrivacy, GDPR, CCPA, POPIA, LGPD). Ha studiato Legge all'Università di Belgrado e superato l'esame di abilitazione alla professione forense nel 2016. Per saperne di più su chi scrive
