Elenco dei documenti obbligatori richiesti dal GDPR dell’UE

Ecco di seguito riportato  l’elenco dei documenti necessari.

Nota bene:I nomi dei documenti non sono prescritti dal GDPR, quindi è possibile usare altri titoli;Si possono unire alcuni di questi documenti.

Documenti e registrazioni obbligatori richiesti dal GDPR dell’ Unione Europea

Di seguito riportiamo l’elenco dei documenti che devi avere per essere pienamente conforme al GDPR:

  • Politica sulla Protezione dei Dati Personali (Articolo n°24): Si tratta di un documento di alto livello per la gestione della privacy nella propria azienda, che definisce ciò che si desidera ottenere e in che modo. Vedi anche: Contenuti della Politica sulla Protezione dei Dati secondo il GDPR.
  • Informativa sulla Privacy (Articoli n°12, 13 e 14) – questo documento (che può anche essere pubblicato sul tuo sito web) spiega in parole semplici come tratterai i dati personali dei tuoi clienti, visitatori del sito web e altri.
  • Informativa sulla Privacy per i Dipendenti (articoli n°12, 13 e 14) – spiega in che modo la tua società tratterà i dati personali dei tuoi dipendenti (che potrebbero includere casellari giudiziari,cartelle cliniche, ecc.).
  • Politica di Conservazione dei Dati (Articoli n° 5, 13, 17 e 30) – descrive il processo per decidere per quanto tempo un particolare tipo di dati personali dovrà essere conservato e con quale modalità sarà distrutto in modo sicuro.
  • Programma di Conservazione dei Dati (Articolo n°30) – elenca tutti i dati personali e descrive per quanto tempo ciascun tipo di dati sarà conservato.
  • Modulo di Consenso dell’Interessato (Articoli n°6, 7 e 9) – questa è la modalità più comune per ottenere il consenso da parte di un interessato a trattare i suoi dati personali.
  • Modulo di Consenso del Titolare della Responsabilità Genitoriale (Articolo n°8) – se l’interessato ha meno di 16 anni di età, un genitore deve dargli il consenso per il trattamento dei dati personali.
  • Registro delle Valutazioni d’Impatto sulla Protezione dei Dati (Articolo n°35) – qui è possibile registrare tutti i risultati della Valutazione dell’Impatto sulla Protezione dei Dati.
  • Accordo con il Fornitore del Trattamento dei Dati (Articoli n° 28, 32 e 82) – questo documento è necessario per regolare la protezione dei dati con un processore(1) o qualsiasi altro fornitore.
  • Procedura di Risposta e Comunicazione di una Violazione dei Dati (Articoli n° 4, 33 e 34) – descrive cosa fare prima, durante e dopo una violazione dei dati.
  • Registro delle Violazioni dei Dati (Articolo n°33) – qui è possibile registrare tutte le violazioni dei dati.
  • Modulo di Comunicazione di una Violazione all’Autorità di Controllo (Articolo n°33) – in caso di violazione dei dati, è necessario informare in modo formale l’Autorità di Controllo.
  • Modulo di Comunicazione di una Violazione agli Interessati (articolo n°34) – ancora una volta, in caso di violazione dei dati, si avrà lo spiacevole compito di informare gli interessati in modo formale.

Documenti necessari in determinate condizioni

Avrai bisogno dei seguenti documenti qualora si applichino le seguenti condizioni:

  • Descrizione del Ruolo del Responsabile della Protezione dei Dati (Articoli n°37, 38 e 39) – è necessario disporre di un Responsabile della Protezione dei Dati (Data Protection Officer DPO) se (a) il trattamento è effettuato da un’autorità o da un ente pubblico, a eccezione dei tribunali che agiscono nella loro capacità giudiziaria; oppure b) le attività principali consistono in operazioni di trattamento che richiedono un monitoraggio regolare e sistematico degli interessati su vasta scala; o c) le attività principali trattano su vasta scala categorie speciali di dati e dati personali relativi a condanne penali e reati.
  • Elenco delle Attività di Trattamento dei Dati (Articolo n°30) – questo documento è obbligatorio se (a) la società ha più di 250 dipendenti; o (b) il trattamento effettuato dalla società rischia di comportare un rischio per i diritti e le libertà degli interessati; o (c) il trattamento non è occasionale; o (d) il trattamento include categorie speciali di dati; o (e) il trattamento include dati personali relativi a condanne penali e reati.
  • Clausole Contrattuali Tipo per il Trasferimento di Dati Personali ai Controllori(2) (Articolo n°46) – obbligatorio se si trasferiscono dati personali a un controllore al di fuori dello Spazio Economico Europeo (SEE) e si sta facendo affidamento sulle clausole tipo come motivi legittimi per i trasferimenti transfrontalieri di dati.
  • Clausole Contrattuali Tipo per il Trasferimento di Dati Personali ai Processori (Articolo n°46) – obbligatorio se si trasferiscono dati personali a un processore al di fuori dello Spazio Economico Europeo (SEE) e si sta facendo affidamento sulle clausole tipo come motivi legittimi per i trasferimenti transfrontalieri di dati.

Documenti non obbligatori

Ecco un elenco di documenti che non sono richiesti dal GDPR. Tuttavia, alcuni di questi documenti potrai trovarli molto utili;un’opportunità in più se vuoi mantenere la tua conformità senza preoccupazioni:

  • Valutazione della Preparazione al GDPR dell’UE – utile se si vuole scoprire il divario tra ciò che si possiede e ciò che il GDPR richiede per essere in regola.
  • Politica di Protezione dei Dati Personali dei Dipendenti (Articolo n°24) – simile alla Politica di alto livello sulla Protezione dei Dati Personali, ma specificamente rivolta ai dipendenti.
  • Piano di Progetto per la Conformità al GDPR dell’UE – utile soprattutto se hai un’azienda di medie – grandi dimensioni e desideri sapere esattamente chi è responsabile della conformità e quali sono le scadenze precise.
  • Registro delle Informative sulla Privacy (Articoli n°12, 13 e 14) – potrebbe essere molto utile se in molti luoghi sono stati pubblicati avvisi sulla privacy e si desidera avere il controllo su tutti questi avvisi.
  • Modulo di Recesso dell’Interessato (Articolo n° 7) – documento utile quando un interessato desidera ritirare il proprio consenso.
  • Linee guida per l’Elenco dei Dati e la Mappatura delle Attività di Trattamento (Articolo n°30) – poiché probabilmente avrai bisogno di un Inventario delle Attività di Trattamento, queste linee guida ti aiuteranno a compilare tale documento.
  • Procedura di Richiesta di Accesso ai Dati da parte dell’Interessato (Articoli n°7, 15, 16, 17, 18, 20, 21 e 22) – consente di stabilire chi fa cosa quando ricevi tale richiesta (cosa che con molta probabilità accadrà).
  • Modulo di Recesso del Titolare della Responsabilità Genitoriale (Articolo n°8) – documento utile se hai a che fare con un soggetto con meno di 16 anni.
  • Modulo per la Richiesta di Accesso ai Dati da parte dell’Interessato (Articolo n°15) – semplifica l’accesso all’interessato e consente all’utente di gestire tali richieste in quanto consente di avere una più chiara visione di ciò che l’interessato desidera.
  • Modulo di Comunicazione dei Dati all’Interessato (Articolo n°15) – saprai esattamente quali informazioni inviare una volta ricevuta la richiesta di accesso ai dati da parte dell’interessato.
  • Metodologia di Valutazione dell’Impatto sulla Protezione dei Dati – o DPIA (Articolo n°35) – poiché questo è probabilmente il compito più complesso nel tuo progetto di conformità al GDPR, troverai le linee guida su come eseguire la Valutazione dell’Impatto sulla Protezione dei Dati (o DPIA – Data Protection Impact Assessment) piuttosto utile.
  • Documenti che regolano la sicurezza dei dati personali (Articolo n°32) – ad es., Politica di Sicurezza IT, Politica di Controllo dell’Accesso, Procedure di Sicurezza per il Dipartimento di IT, Politica Bring Your Own Device (BYOD), Politica per Dispositivi Mobili e Telelavoro, Politica di Clear Desk e Clear Screen, Politica di Classificazione delle Informazioni, Politica di Anonimizzazione e Pseudonimizzazione, Piano di Disaster Recovery, Procedura di Audit Interno, Politica sull’Uso della Cifratura,Checklist per l’Audit Interno ISO 27001: questi sono documenti che troverai molto utili per proteggere i dati; il modo più semplice è utilizzare come guida uno standard di sicurezza delle informazioni come la ISO 27001.
  • Procedura di Trasferimento Transfrontaliero di Dati Personali (Articoli n°1, 44, 45, 46, 47 e 49) – La troverai utile come linea guida se trasferisci dati personali al di fuori dell’area Economica Europea.
  • Questionario di Conformità del Processore al GDPR (Articoli n°28 e 32) – lo troverai molto utile quando eseguirai la due diligence su un processore.
0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *