GDPR nel mondo digitale: come procedere?

Il tuo integratore web deve conoscerlo bene. Parlando di altri argomenti, abbiamo mirato a catturare l’essenza della trasformazione digitale e a mostrare lo stato ideale in cui aspiriamo (e in cui ci troviamo più o meno già) nei nostri progetti. L’articolo di oggi illustrerà il nostro approccio all’implementazione e fornirà consigli utili che puoi utilizzare. Il testo è costituito principalmente da una serie di suggerimenti basati su consultazioni con colleghi di lavoro ed esperti esterni. Consentitemi di fare un “disclaimer”: questo articolo sicuramente non può rispondere a tutte le vostre domande sul GDPR. Questo problema è eccessivamente complesso, ma cercherò di coprire almeno argomenti che sono più o meno rilevanti per tutti. Se mi manca qualcosa, non esitare a farmelo sapere e sarò felice di provare ad aggiungere alcune informazioni.

Dove iniziare?

Per implementare correttamente le linee guida, che garantiranno la conformità della tua azienda al GDPR, devi mappare accuratamente il modo in cui lavori con i dati personali. GDPR funziona con concetti come “titolare del trattamento dei dati” e “responsabile del trattamento dei dati”. Ai fini di questo articolo mi occuperò di entrambi i ruoli, che possono riguardare una parte più ampia di lettori (non mi considero un “destinatario dei dati”, in quanto riguarda principalmente il settore pubblico). Mi concentro qui sull’elaborazione dei dati dei clienti, poiché la maggior parte di questi fatti è facilmente trasferibile ai dati interni dei dipendenti. Il GDPR estende il concetto di dati personali (la direttiva usa il termine “dati del soggetto”) a indirizzi e-mail, indirizzi IP, archivi fotografici, ecc., Così come definisce “dati sensibili” come i record biometrici (soggetti a un regime più rigoroso). Ciascuno di questi dati deve anche avere un’agenda chiaramente definita, in base alla quale viene elaborato, ed è per questo che devi concentrarti sulla descrizione procedurale di come gestire queste informazioni – prendilo come un esercizio simile all’ottenimento della certificazione ISO. Sebbene le frasi precedenti possano sembrare che dobbiamo prima guardare i dati da cui proviamo a dedurre ciò che è necessario, il processo dovrebbe effettivamente andare al contrario. Si desidera definire gli ordini del giorno che si devono affrontare all’interno della propria applicazione / azienda / operazioni quotidiane e quindi definire chiaramente i dati che saranno necessari per lavorare con essi. Il GDPR contiene il diritto della persona di sapere quali dati vengono memorizzati su di essa e può richiedere la modifica o la cancellazione dei dati, se i dati non sono necessari per lo scopo per cui sono stati raccolti. Analogamente alla progettazione del software, dove la tecnologia ha uno scopo, questo principio si applica anche ai dati personali e quindi il punto focale deve essere tale scopo. Quindi, concentrati su di esso con la dovuta attenzione. Un esempio di questo può essere un calcolatore di credito online, che serve come base per la conclusione di un contratto di prestito, in cui un istituto finanziario deve soddisfare il requisito di “prudenza”. Per questo motivo hanno bisogno di conoscere il nome, il cognome, il luogo di residenza, ma anche la data di nascita e il numero di previdenza sociale, al fine di consentire la presentazione per il punteggio nell’ambito del controllo del registro dei debitori. D’altra parte, non è necessaria una tale portata della raccolta di informazioni nel caso di un semplice modulo di richiesta, in cui saranno sufficienti i dati di identificazione di base ei dettagli di contatto. Tuttavia, entrambi i processi devono essere conformi ai requisiti procedurali pertinenti.