Nella tappa di maggio ci concentriamo sulla messa a terra degli istituti a livello operativo, in particolare focalizziamo l’attenzione sul principio di trasparenza, sulle principali policy che le aziende devono redigere e adottare per essere pronti all’entrata in vigore della nLPD, nuova Legge sulla Protezione dei Dati svizzera.
Regolamento sul corretto utilizzo degli strumenti aziendali
È fondamentale predisporre un regolamento sul corretto utilizzo degli strumenti aziendali, che informi i nostri collaboratori su cosa è consentito e cosa non è consentito fare quando utilizzano dispositivi/pc/asset/applicazioni sw fornite dall’azienda per svolgere le attività di business.
Questo regolamento sarà essenziale sicuramente per fornire chiare linee guida ai dipendenti in merito all’uso consentito degli strumenti nonché garantire trasparenza e informazione agli stessi rispetto ai trattamenti dei loro dati personali che, come sappiamo, si verifica quando un dipendente utilizza ad esempio un pc, una casella di posta elettronica, un telefono aziendale.
Redazione delle informative privacy
Redigere le informative privacy e istituire regolamenti specifici che spieghino le procedure e le politiche aziendali è un tassello di grande valore per un’azienda che si sta preparando all’entrata in vigore della nLPD. Le informative privacy e i regolamenti devono essere consegnati ai dipendenti per assicurare che siano a conoscenza delle politiche e delle regole vigenti all’interno dell’organizzazione.
L’informativa sulla privacy è un elemento essenziale e viene consegnata ai dipendenti durante il processo di assunzione. Ma non solo. Può essere fornita anche in fasi successive quando si è in presenza di nuovi trattamenti che impattino sui dati dei dipendenti stessi. L’informativa descrive i motivi per cui l’azienda, in qualità di titolare del trattamento, raccoglie e tratta i dati personali, in particolare quelli legati al contesto lavorativo. L’azienda però non deve informare solo i propri dipendenti. Il numero e il tipo di informative privacy possono variare a seconda dei diversi trattamenti che un’azienda svolge. Ad esempio, vi è l’informativa da caricare sui siti web (trattamento di dati personali riferiti agli utenti online), l’informativa per il sistema di videosorveglianza (visitatori, dipendenti la cui immagine viene rilevata e/o registrata da un sistema di telecamere), l’informativa per i candidati (dati personali raccolti in fase di selezione) e molte altre.
Redazione policy gestione data breach
Oltre alla predisposizione di informative privacy vi sono altre policy molto importanti. Una di queste è la procedura per la gestione delle violazioni dei dati personali, nota come procedura per la gestione dei data breach. La sensibilizzazione e la pubblicizzazione di questa procedura sono fondamentali per garantire che tutti i dipendenti e i fornitori di servizi siano a conoscenza delle regole da seguire in caso di violazione dei dati personali.
Questa procedura regolamenta i vari step da intraprendere per gestire l’incidente di sicurezza che ha comportato una violazione di dati personali in modo tempestivo ed efficace.
L’obiettivo è minimizzare l’impatto delle violazioni, reagendo prontamente agli incidenti per proteggere i dati personali, dimostrando l’impegno dell’azienda nella gestione responsabile degli stessi.
Redazione della policy gestione richieste degli interessati
La gestione delle richieste di esercizio dei diritti da parte dei soggetti interessati è un processo essenziale per garantire il rispetto della privacy e dei diritti degli individui. Per gestire correttamente tali richieste, è importante preparare e predisporre una policy che fornisca indicazioni chiare ai collaboratori su come devono comportarsi nel caso in cui un interessato eserciti i propri diritti.
Redazione policy conservazione dei dati personali
È importante definire le tempistiche di conservazione dei dati personali in conformità alle norme di legge e alle esigenze specifiche dell’azienda. Il documento sulla conservazione dei dati personali può fornire linee guida chiare su come vengono determinate le tempistiche e i criteri di conservazione dei dati.
La Policy sulla conservazione dei dati personali dovrebbe essere resa disponibile a tutti coloro che trattano dati personali per conto dell’azienda. In questo modo, tutti saranno a conoscenza delle tempistiche di conservazione e dei criteri applicati e potranno agire in conformità con tali disposizioni.
Se la vostra azienda necessita di ulteriori informazioni o suggerimenti specifici sulla redazione dell’informativa privacy o sulla definizione delle tempistiche di conservazione non esitate a contattarci.
