LE PRINCIPALI MISURE DA ADOTTARE PER EVITARE SANZIONI IN AMBITO PRIVACY

Ogni professionista o impresa che opera all’interno del territorio dell’Unione Europea, e che tratta in maniera parzialmente o interamente automatizzata dati personali, è soggetta alle regole previste dal Regolamento (UE) 2016/679 (anche conosciuto come GDPR), la cui violazione comporta importanti sanzioni, che possono arrivare fino 20 milioni di euro o, per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Di seguito una breve check list (non esaustiva), contenente le 20 principali misure da adottare per evitare di incorrere in sanzioni da parte dell’Autorità Garante per la Privacy:

1 Il Titolare ha l’obbligo di nominare un Data Protection Officer? Se si, individuarlo secondo i requisiti di cui al GDPR (soggetto in possesso di adeguata competenza ed esperienza in materia di privacy; soggetto privo di ruolo in conflitto di interessi con l’incarico, etc.) 

2. Predisporre un sistema di revisione e aggiornamento del Registro dei trattamenti ex art. 30 comma 1 GDPR – Registro del Titolare, ed ex art. 30 comma 2 GDPR –  Registro del Responsabile.

3 Predisporre le autorizzazioni per i dipendenti ex art. 2 quaterdecies codice privacy.

4 Predisporre informative destinate ai dipendenti (art. 13 GDPR)? 

5 Predisporre un’informativa per Candidati (per un contratto di lavoro)? 

6 Predisporre una informativa per l’eventuale videosorveglianza aziendale, verificando, qualora vi siano dipendenti, se è stata ottenuta autorizzazione sindacale o amministrativa (art. 4 L.300/70)

7 In caso di procedure anti-contagio Covid-19 per dipendenti e fornitori (se presente una procedura per ingresso e uscita, es. rilevazione temperatura o autodichiarazione) predisporre idonea informativa privacy e eventuale lettera di incarico al trattamento per coloro che si occupano della raccolta dati. 

8 Eseguire la mappatura dei fornitori che svolgo per conto del Titolare servizi che comportano il trattamento di dati personali di: dipendenti, collaboratori e fornitori (es. commercialista, consulente del lavoro, società consulenza in materia di sicurezza sul lavoro, etc.), e aggiornare periodicamente tale  elenco

9 Effettuare la nomina art. 28 GDPR dei fornitori di cui al punto 8, ed una sua periodica revisione 

10 Predisporre una informativa privacy per fornitori art. 13 GDPR (persone fisiche o legali rappresentanti di persone giuridiche)

11 Predisporre un impegno alla riservatezza sottoscritto da soci, membri cda, revisori e cariche come da statuto (relativo alle loro attività di trattamento dati) 

12 Eseguire periodicamente e verificare la formazione del personale in materia di privacy.

14 Eseguire una Valutazione Rischio Privacy dei trattamenti censiti e un programma di mitigazione del rischio

15 Predisporre procedure di gestione interne o policy privacy (es. utilizzo strumentazione informatica, utilizzo, e-mail, etc.)

16 Predisporre una informativa Clienti (es. per raccolta dati durante attività di vendita: fatture, registrazione acquisiti per raccolta punti, sconti, etc.)

17 Prevedere sul sito web una informativa Clienti (per acquisiti online), Utenti (relativa all’utilizzo di cookie) ed una informativa newsletter.

18 Prevedere una informativa/liberatoria pubblicazione immagini (qualora sul sito siano pubblicate foto di interessati) 

19 Prevedere una procedura per l’esercizio dei diritti artt. 15-22 GDPR da parte degli interessati e gestione di eventuali richieste

20 Prevedere procedura di gestione in caso di Data Breach.

Lo Studio Legale Fondi, attivo nel settore della consulenza in ambito privacy e tutela dei dati personali, si offre di aiutare ciascun cliente a verificare in concerto le misure necessarie, individuando le strategie idonee ad evitare il rischio di incorrere in sanzioni che compromettano il business e la reputazione aziendale.