1. Mappare i flussi informativi, analizzare quali sono le figure coinvolte nel trattamento dei dati (es.: commercialista, avvocato, amministratori di sistema, dipendenti) e quali sono le categorie di dati personali trattati.
2. Valutare
Il Data Protection Officer deve essere nominato quando l’attività principale del titolare consiste in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati (gli utenti) su larga scala.
3. Creare
Creare informative chiare e di facile lettura. L'informativa non deve più specificare leggi, commi ecc.; può fornire informazioni anche in modo graduale (informativa a strati) attraverso link o pop up.
4. Definire
Definire i tempi di conservazione dei dati, è obbligatorio stabilire e indicare per quanto tempo i dati rimarranno nel database aziendale.
5. Descrivere
Indicare la provenienza dei dati in caso di utilizzo, è obbligatorio evidenziare l’origine lecita dei dati che l’azienda sta utilizzando soprattutto in caso di acquisto di contatti da fornitori terzi.
6. Dimostrare
Dimostrare di avere l’autorizzazione per tutti i contatti in possesso e, essendo la normativa retroattiva, andrà dimostrato di aver il consenso anche per liste/contatti acquisite in passato.
7. Preparare
Redigere una check list volta a verificare il livello di compliance al Regolamento
8. Profilare
Solo con il consenso dell’interessato, la profilazione è qualsiasi analisi di dati cui fa seguito un’azione automatica ed è obbligatorio di dichiararlo in modo specifico nell’informativa.
9. Cancellare
Il “Diritto all’oblio” permette al soggetto interessato di ottenere la cancellazione di dati personali che lo riguardano e la rinuncia a un’ulteriore diffusione di tali dati quando non sono più necessari rispetto alle finalità.
10. Verificare
Fare attenti controlli ogni anno su tutti gli aspetti, riportare le variazioni e aggiornare tutte le documentazioni di riferimento.