Da https://www.gdpr.net/wp-content/uploads/2017/09/regolamento-GDPR.pdf :
Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.
Se il Dpo (Data Protection Officer) è obbligatorio per enti e aziende che effettuano il monitoraggio dei dati in modo regolare e sistematico su larga scala, la Dpia “è obbligatoria in tutti i casi in cui un trattamento di dati può presentare un rischio elevato per i diritti e le libertà delle persone”,
Il regolamento si applica al trattamento dei dati personale, ed al trattamento non automatizzato dei dati conservati in un "archivio", definito (artt. 2 e 4) in modo simile all'espressione "banca di dati", presente nel codice della privacy italiano.
http://www.kuma.cloud/blog/gdpr-cosa-si-intende-per-trattamento-dei-dati-personali/
Definizione di "Dato Personale"
Qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale
Definizione di "Trattamento"
Qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione
https://www.infogdpr.eu/come-adeguare-il-sito-web-al-gdpr-146.html
GDPR e Sito Web: checklist
Realizzare una verifica di tutti i dati personali collezionati
Aggiornare l’informativa sulla privacy
Rendere affermativi gli avvisi dei cookie
Creare semplici processi opt-in tali da essere granulari (a seconda del trattamento)
Rivedere la funzionalità di acquisizione dati
Aggiornare le Privacy Policy per le email
Rendere immediata la possibilità di gestione/cancellazione dati
Applica un livello di crittografia sui dati presenti fisicamente sul disco e sulle informazioni nei database
Controllare che tutti i moduli non siano “flaggati” di default. L’utente deve confermare l’invio delle informazioni
Abilita una procedura per agevolare l’eliminazione dei dati di un particolare utente
Abilita una procedura che garantisca la portabilità dei dati
Registrare e monitorare i log di sistema degli amministratori e dei webmaster
https://www.bee-social.it/come-adeguarsi-gdpr-azienda-sito
Cosa deve fare ogni azienda di fronte al GDPR
In super sintesi, sono 5 i punti chiave che ogni azienda deve affrontare per adeguarsi al GDPR:
Controllare pienamente l’accesso ai dati, con database strutturati e destrutturati
Identificazione chiara dei dati personali gestiti (con accesso immediato, profilazione, norme di sicurezza a favore della tutela dei dati)
Governance dei dati: esplicitazione delle policy, identificazione dei processi di gestione, assegnazione delle responsabilità.
Strategie di protezione dei dati: anonimizzazione dei record di dati e crittografia.
Controllo delle procedure applicate, con reportistica interna, verifiche, gestione proattiva del rapporto con gli utenti.