GDPR: check list operativa (parte amministrativa)

Valutazione del grado di conformità al GDPR della propria attività professionale.
L’impianto amministrativo occupa un posto importante nella gerarchia degli obblighi in quanto da esso scaturiscono le impostazioni e le procedure che saranno adottate a tutela dei dati personali.


  1. È stata predisposta la modulistica preliminare per procedere alla raccolta dei dati del cliente, (informativa completa con linguaggio semplice e chiaro)?
  • La raccolta dei dati deve essere accompagnata – se non preceduta – da una informativa che contenga tutte le informazioni richieste dal Regolamento utilizzando un “linguaggio semplice e chiaro” come richiesto dal GDPR.
  • Evitare dunque rimandi a leggi e citazioni superflue.
  1. Sono stati predisposti l’informativa. il consenso dei dipendenti/consulenti ed il relativo modulo di contatto?
  • L’informativa deve descrivere le pratiche in materia di privacy applicabili alle informazioni raccolte per la gestione del rapporto di lavoro con il dipendente/consulente.
  1. L’attività è organizzata in modo da raccogliere e trattare solo ed esclusivamente i dati necessari o utili in vista del miglior espletamento del compito assegnato?
  • Vanno raccolti e trattati esclusivamente i dati personali che non siano “eccedenti” rispetto alle finalità del trattamento, ovvero che siano “limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.
  • La disponibilità di dati estranei alla finalità esplicitata segnala la sussistenza di un trattamento “abusivo”.
  1. Si è proceduto alla nomina e all’adeguata istruzione dei propri collaboratori formalizzando i rapporti con i professionisti ai quali ci si rivolge per la gestione e lo sviluppo dell’attività professionale? Tutte le figure coinvolte nelle policies di protezione dei dati sono state inserite nell’organigramma?
  • L'organigramma per la politica di protezione dei dati dell’attività deve comprendere gli incaricati nominati (collaboratori, praticanti, dipendenti) ma anche i responsabili dei trattamenti, includendo tutte figure esterne che a vario titolo collaborano nella gestione della privacy (avvocati, commercialisti, consulenti del lavoro, notai, ingegneri, medici aziendali, laboratori analisi cliniche, manutentori dispositivi informatici, ecc.).
  • Nota: per gli incaricati occorre una nomina (art. 30 T.U.) contenente le istruzioni operative per i trattamenti (di cui anche all'art. 29 del Regolamento);
    per i responsabili dei trattamenti occorre un contratto (o altro atto giuridico) che vincoli i medesimi a specifici obblighi (art. 28 del Regolamento).
  1. Sono stati predisposti i vari registri?
  • Registro Trattamento Dati (per categorie: dipendenti, pazienti, clienti, associati, docenti, ecc.) Registro delle Password, Modulo Data Breach.
  1. È stata organizzata la conservazione dei vari documenti in modo da averne sempre la disponibilità ed in modo che questa sia accessibile al solo personale autorizzato? Conosco dove recuperare i dati, dove cercarli e come accedervi?
  • In concreto si chiede una gestione ordinata dei dati e delle banche dati inerenti l’attività che garantisca disponibilità e riservatezza delle informazioni sensibili al riparo da sguardi indiscreti, ovvero da accessi non autorizzati e/o furti.
  • A tale scopo si raccomanda la conservazione dei fascicoli cartacei, all’interno di appositi armadi dotati di serratura e delle cartelle digitali con il ricorso a tecniche di cifratura FDE.
  • La insufficiente o mancata protezione dei dati può avere serie conseguenze anche sul proprio Albo/Ordine Professionale.
  1. Il tempo di conservazione dei dati personali è definito in linea con le finalità del trattamento?
  • La conservazione dei dati è ammessa per un tempo determinato con le finalità del trattamento (non ad libitum), che peraltro (novità del Regolamento), va menzionato nell'informativa. In alternativa all’indicazione del periodo di conservazione sarà sufficiente indicare i criteri utilizzati per determinarlo.
  1. È presente o è stato predisposto un codice di condotta/linee guida di categoria che contemplino anche gli aspetti di sicurezza fisica adottati?
  • Best practice, codici di condotta e certificazioni possono, essere utilizzati come elementi per dimostrare la conformità di titolari o responsabili del trattamento in particolare per quanto riguarda l’individuazione del rischio connesso al trattamento e la sua valutazione del rischio.

ilmiositojoomla.it

Questo sito utilizza cookie, anche di terze parti. Continuando la navigazione su questo sito accetti che vengano utilizzati.