GDPR e Privacy: guida alle aziende

Spesso sottovalutati, la privacy ed il trattamento dei dati personali sono temi che hanno assunto una certa rilevanza in seguito all’adozione del Regolamento Europeo Privacy, meglio conosciuto come GDPR. Pertanto, è fondamentale che le aziende conoscano quanto espresso dalla legge sulla privacy e adottino misure adeguate.
Oggi analizzeremo il GDPR e chiariremo ogni dubbio sulle procedure che la tua azienda dovrebbe adottare per evitare il rischio di sanzioni.
L’acronimo inglese GDPR sta per General Data Protection Regulation, si tratta del “regolamento europeo che disciplina il modo in cui le aziende e le altre organizzazioni trattano i dati personali”.
Il suo campo di applicazione è estremamente ampio per cui, salvo qualche eccezione, ogni azienda e professionista è chiamato al rispetto di tali disposizioni.
Guida agli adempimenti sulla privacy aziendale
Indice dei contenuti
Il processo di adeguamento è articolato e richiede un approccio in più fasi:
–Analisi dell’azienda e individuazione delle attività di trattamento;
–Valutazione dei rischi e implementazione di misure di sicurezza;
-Nomina, ove necessario, di un Responsabile per la protezione dei dati (DPO o RPD).
-Predisposizione della c.d. Informativa Privacy per gli interessati;
-Individuazione dei ruoli e disciplina dei rapporti con i soggetti coinvolti;
-Redazione del Registro delle attività di trattamento.
Analisi dell’azienda
Il datore di lavoro dovrà eseguire un’analisi preliminare, per individuare le attività di trattamento e le tipologie dei dati trattati. Spesso si crede di non trattare dati personali e quindi di essere “esentati” dalla normativa. In realtà, è sufficiente che sia conservato un elenco di anagrafiche o sia presente anche solo un dipendente per ritrovarsi in possesso di un database di dati personali, le cui informazioni dovranno essere trattate nel rispetto del GDPR.
E’ opportuno fare un lavoro di inventario sui documenti presenti in azienda: in ogni caso in cui si trovino le specifiche di un soggetto terzo è necessario ottenere il consenso dell’interessato.
Valutazione dei rischi
Dopo aver delineato un quadro generale sulle attività di trattamento svolte, un’azienda deve implementare le misure volte a mitigare i rischi correlati.
Questa indagine servirà a produrre delle misure per:
-Evitare che si verifichino perdite, modifiche o accessi non autorizzati alle informazioni possedute dall’azienda;
-Evitare sanzioni e richieste di risarcimento danni da parte degli interessati;
-Assicurare la capacità di ripristinare i dati in caso di incidente fisico o tecnico o a seguito di un hackeraggio.
Nomina RPD o DPO
Il Responsabile della protezione dei dati (RPD) o Data Protection Officer (DPO) è una figura con specifici compiti e poteri tra cui la sensibilizzazione e formazione del personale, l’attività di consulenza resa nei confronti del Titolare, nonché la sorveglianza sull’osservanza del GDPR.
L’art. 37 par. 1 del GDPR, stabilisce dei casi specifici in cui la designazione del DPO è da considerarsi obbligatoria:
-Nel settore pubblico: la nomina di un DPO è sempre obbligatoria (fatta eccezione per le autorità giurisdizionali quando esercitano le loro funzioni),
-Nel settore privato: la nomina di un DPO è obbligatoria quando il titolare effettua, nel contesto delle proprie “attività principali”:
Trattamenti che comportano il “monitoraggio regolare e sistematico” degli interessati su larga scala;
Trattamenti “su larga scala” di categorie particolari di dati personali di cui all’art. 9 (dati particolari), o di dati relativi a condanne penali e a reati di cui all’art. 10.
Informativa Privacy
Fondamentale per tutelare i dati personali è il diritto dell’interessato a essere informato.
In tal modo viene garantita la trasparenza necessaria alla tutela della privacy, pertanto è necessario produrre l’informativa Privacy. In essa dovranno essere ben chiari:
–Identità e dati di contatto del titolare del trattamento;
-Dati di contatto del Responsabile della protezione dei dati (se presente);
-Le finalità del trattamento e la corrispondente base giuridica;
–Destinatari a cui possono essere comunicati i dati trattati;
-I diritti del titolare del trattamento;
-L’eventuale obbligatorietà del conferimento dei dati, nonché le possibili conseguenze del mancato conferimento.
Individuazione dei ruoli e soggetti coinvolti
Uno dei passaggi fondamentali nella valutazione e attenuazione dei rischi connessi alle operazioni di trattamento consiste nell’individuazione di tutti quei soggetti, interni o esterni alla realtà aziendale, che effettueranno (ed effettuano) trattamenti di dati personali per conto del Titolare.
Nel caso in cui questi soggetti siano “interni” all’azienda si parlerà di soggetti Autorizzati al trattamento.
Se invece l’azienda si affida a consulenti esterni, tali soggetti dovranno essere individuati quali Responsabili del trattamento.
Registro delle attività di trattamento
E’ un documento contenente le principali informazioni sulle operazioni di trattamento svolte in azienda. Il registro viene spesso richiesto in caso di ispezione e rappresenta un valido supporto per l’analisi e il controllo dei propri trattamenti.
Anche se sottovalutato, qualunque esercizio commerciale o artigiano con almeno un dipendente o che tratti dati sanitari dei clienti deve redigere e conservare il Registro.
Sappiamo che tutte queste procedure potrebbero risultare complicate, per questo AS.CO. Formazione supporta le imprese nella creazione, gestione e mantenimento di un sistema di gestione privacy certificato.