Elenco dei documenti obbligatori richiesti dal GDPR dell’UE

Ecco di seguito riportato  l’elenco dei documenti necessari.

Nota bene:I nomi dei documenti non sono prescritti dal GDPR, quindi è possibile usare altri titoli;Si possono unire alcuni di questi documenti.

Documenti e registrazioni obbligatori richiesti dal GDPR dell’ Unione Europea

Di seguito riportiamo l’elenco dei documenti che devi avere per essere pienamente conforme al GDPR:

  • Manuale sulla Protezione dei Dati Personali (Articolo n°24): Si tratta di un documento di alto livello per la gestione della privacy nella propria azienda, che definisce ciò che si desidera ottenere e in che modo. Vedi anche: Contenuti della Politica sulla Protezione dei Dati secondo il GDPR.
  • Informativa sulla Privacy (Articoli n°12, 13 e 14) – questo documento (che può anche essere pubblicato sul tuo sito web) spiega in parole semplici come tratterai i dati personali dei tuoi clienti, visitatori del sito web e altri.
  • Informativa sulla Privacy per i Dipendenti (articoli n°12, 13 e 14) – spiega in che modo la tua società tratterà i dati personali dei tuoi dipendenti (che potrebbero includere casellari giudiziari,cartelle cliniche, ecc.).
  • Politica di Conservazione dei Dati (Articoli n° 5, 13, 17 e 30) – descrive il processo per decidere per quanto tempo un particolare tipo di dati personali dovrà essere conservato e con quale modalità sarà distrutto in modo sicuro.
  • Programma di Conservazione dei Dati (Articolo n°30) – elenca tutti i dati personali e descrive per quanto tempo ciascun tipo di dati sarà conservato.
  • Modulo di Consenso dell’Interessato (Articoli n°6, 7 e 9) – questa è la modalità più comune per ottenere il consenso da parte di un interessato a trattare i suoi dati personali.
  • Modulo di Consenso del Titolare della Responsabilità Genitoriale (Articolo n°8) – se l’interessato ha meno di 16 anni di età, un genitore deve dargli il consenso per il trattamento dei dati personali.
  • Registro delle Valutazioni d’Impatto sulla Protezione dei Dati (Articolo n°35) – qui è possibile registrare tutti i risultati della Valutazione dell’Impatto sulla Protezione dei Dati.
  • Accordo con il Fornitore del Trattamento dei Dati (Articoli n° 28, 32 e 82) – questo documento è necessario per regolare la protezione dei dati con un processore(1) o qualsiasi altro fornitore.
  • Procedura di Risposta e Comunicazione di una Violazione dei Dati (Articoli n° 4, 33 e 34) – descrive cosa fare prima, durante e dopo una violazione dei dati.
  • Registro delle Violazioni dei Dati (Articolo n°33) – qui è possibile registrare tutte le violazioni dei dati.
  • Modulo di Comunicazione di una Violazione all’Autorità di Controllo (Articolo n°33) – in caso di violazione dei dati, è necessario informare in modo formale l’Autorità di Controllo.
  • Modulo di Comunicazione di una Violazione agli Interessati (articolo n°34) – ancora una volta, in caso di violazione dei dati, si avrà lo spiacevole compito di informare gli interessati in modo formale.

Grazie al programma DATI360®, ottimizzato per le piccole e medie aziende / professionisti, puoi generare tutta questa documentazione richiesta in poche ore.

Acquista ora DATI360®, al prezzo scontato con la garanzia soddisfatto o rimborsato >

Documenti necessari in determinate condizioni

Avrai bisogno dei seguenti documenti qualora si applichino le seguenti condizioni:

  • Descrizione del Ruolo del Responsabile della Protezione dei Dati (Articoli n°37, 38 e 39) – è necessario disporre di un Responsabile della Protezione dei Dati (Data Protection Officer DPO) se (a) il trattamento è effettuato da un’autorità o da un ente pubblico, a eccezione dei tribunali che agiscono nella loro capacità giudiziaria; oppure b) le attività principali consistono in operazioni di trattamento che richiedono un monitoraggio regolare e sistematico degli interessati su vasta scala; o c) le attività principali trattano su vasta scala categorie speciali di dati e dati personali relativi a condanne penali e reati.
  • Elenco delle Attività di Trattamento dei Dati (Articolo n°30) – questo documento è obbligatorio se (a) la società ha più di 250 dipendenti; o (b) il trattamento effettuato dalla società rischia di comportare un rischio per i diritti e le libertà degli interessati; o (c) il trattamento non è occasionale; o (d) il trattamento include categorie speciali di dati; o (e) il trattamento include dati personali relativi a condanne penali e reati.
  • Clausole Contrattuali Tipo per il Trasferimento di Dati Personali ai Controllori(2) (Articolo n°46) – obbligatorio se si trasferiscono dati personali a un controllore al di fuori dello Spazio Economico Europeo (SEE) e si sta facendo affidamento sulle clausole tipo come motivi legittimi per i trasferimenti transfrontalieri di dati.
  • Clausole Contrattuali Tipo per il Trasferimento di Dati Personali ai Processori (Articolo n°46) – obbligatorio se si trasferiscono dati personali a un processore al di fuori dello Spazio Economico Europeo (SEE) e si sta facendo affidamento sulle clausole tipo come motivi legittimi per i trasferimenti transfrontalieri di dati.

Documenti non obbligatori

Ecco un elenco di documenti che non sono richiesti dal GDPR. Tuttavia, alcuni di questi documenti potrai trovarli molto utili;un’opportunità in più se vuoi mantenere la tua conformità senza preoccupazioni:

  • Valutazione della Preparazione al GDPR dell’UE – utile se si vuole scoprire il divario tra ciò che si possiede e ciò che il GDPR richiede per essere in regola.
  • Politica di Protezione dei Dati Personali dei Dipendenti (Articolo n°24) – simile alla Politica di alto livello sulla Protezione dei Dati Personali, ma specificamente rivolta ai dipendenti.
  • Piano di Progetto per la Conformità al GDPR dell’UE – utile soprattutto se hai un’azienda di medie – grandi dimensioni e desideri sapere esattamente chi è responsabile della conformità e quali sono le scadenze precise.
  • Registro delle Informative sulla Privacy (Articoli n°12, 13 e 14) – potrebbe essere molto utile se in molti luoghi sono stati pubblicati avvisi sulla privacy e si desidera avere il controllo su tutti questi avvisi.
  • Modulo di Recesso dell’Interessato (Articolo n° 7) – documento utile quando un interessato desidera ritirare il proprio consenso.
  • Linee guida per l’Elenco dei Dati e la Mappatura delle Attività di Trattamento (Articolo n°30) – poiché probabilmente avrai bisogno di un Inventario delle Attività di Trattamento, queste linee guida ti aiuteranno a compilare tale documento.
  • Procedura di Richiesta di Accesso ai Dati da parte dell’Interessato (Articoli n°7, 15, 16, 17, 18, 20, 21 e 22) – consente di stabilire chi fa cosa quando ricevi tale richiesta (cosa che con molta probabilità accadrà).
  • Modulo di Recesso del Titolare della Responsabilità Genitoriale (Articolo n°8) – documento utile se hai a che fare con un soggetto con meno di 16 anni.
  • Modulo per la Richiesta di Accesso ai Dati da parte dell’Interessato (Articolo n°15) – semplifica l’accesso all’interessato e consente all’utente di gestire tali richieste in quanto consente di avere una più chiara visione di ciò che l’interessato desidera.
  • Modulo di Comunicazione dei Dati all’Interessato (Articolo n°15) – saprai esattamente quali informazioni inviare una volta ricevuta la richiesta di accesso ai dati da parte dell’interessato.
  • Metodologia di Valutazione dell’Impatto sulla Protezione dei Dati – o DPIA (Articolo n°35) – poiché questo è probabilmente il compito più complesso nel tuo progetto di conformità al GDPR, troverai le linee guida su come eseguire la Valutazione dell’Impatto sulla Protezione dei Dati (o DPIA – Data Protection Impact Assessment) piuttosto utile.
  • Documenti che regolano la sicurezza dei dati personali (Articolo n°32) – ad es., Politica di Sicurezza IT, Politica di Controllo dell’Accesso, Procedure di Sicurezza per il Dipartimento di IT, Politica Bring Your Own Device (BYOD), Politica per Dispositivi Mobili e Telelavoro, Politica di Clear Desk e Clear Screen, Politica di Classificazione delle Informazioni, Politica di Anonimizzazione e Pseudonimizzazione, Piano di Disaster Recovery, Procedura di Audit Interno, Politica sull’Uso della Cifratura,Checklist per l’Audit Interno ISO 27001: questi sono documenti che troverai molto utili per proteggere i dati; il modo più semplice è utilizzare come guida uno standard di sicurezza delle informazioni come la ISO 27001.
  • Procedura di Trasferimento Transfrontaliero di Dati Personali (Articoli n°1, 44, 45, 46, 47 e 49) – La troverai utile come linea guida se trasferisci dati personali al di fuori dell’area Economica Europea.
  • Questionario di Conformità del Processore al GDPR (Articoli n°28 e 32) – lo troverai molto utile quando eseguirai la due diligence su un processore.
0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento