- Autore: Walter Della Mora
- Pubblicato il: 6 Lug 2022
- Aggiornato il: 21 Ago 2023
Conformità al GDPR: sei in regola?
Tutte le aziende e le organizzazioni, dalla più grande alla più piccola, hanno inevitabilmente a che fare con i dati personali.
Se nei propri archivi si detiene anche solo il nome, il cognome e il numero di telefono/mail di un cliente, fornitore, dipendente, socio o collaboratore, allora di fatto si sta trattando dati personali.
Ne consegue l’obbligo di rispettare il Regolamento Europeo per la Protezione dei Dati. Ma cosa bisogna fare per raggiungere la conformità al GDPR?
LE CONVINZIONI ERRATE
I lavoratori autonomi e i liberi professionisti sono tra i soggetti maggiormente convinti che la normativa non li riguardi. Spesso ritengono che per essere in regola bastino pochi accorgimenti, come far firmare un’informativa generica ai propri clienti o mettere una password ai propri pc.
La realtà dei fatti è che queste semplici pratiche non sono sufficienti per superare con esito positivo un’eventuale controllo dell’organo ispettivo. L’unico risultato che si può ottenere è quello di esporre la propria azienda alle sanzioni previste dal GDPR che, lo ricordiamo, possono essere anche molto salate.
Questa leggerezza nella gestione dei dati personali è dovuta alla generalizzata tendenza a confondere la “privacy”, ovvero il dovere di non divulgare in giro i fatti altrui, con la “tutela dei dati personali”. Quest’ultima è invece l’obbligo di gestire tali dati in modo che non possano essere smarriti, compromessi o resi disponibili a chi non ha diritto di accedervi.
DOMANDE DA PORSI PER ARRIVARE ALLA CONFORMITA' AL GDPR
Vediamo quali sono le domande che un lavoratore autonomo o un libero professionista dovrebbe farsi per capire se è in regola con la normativa.
1. Ho effettuato l’analisi del rischio?
L’analisi del rischio è l’attività che dovrebbe essere fatta prima di effettuare qualsiasi trattamento di dati personali. Lo scopo è quello di capire a quali rischi verrà sottoposto l’interessato al trattamento in merito ai suoi diritti e alle sue libertà.
Lo studio deve essere effettuato sui dati personali soggetti a trattamento valutando nel dettaglio:
- quali sono i dati trattati;
- come vengono raccolti;
- come vengono utilizzati;
- se vengono comunicati a terze parti (es: commercialista, ufficio buste paga, etc…)
- quali sono le misure tecniche impiegate per la loro protezione (password, backup, cifratura, etc…)
- quali sono le procedure messe in atto per la loro protezione (politiche di rotazione delle password, gestione dei dispositivi dismessi, periodicità dei controlli sul funzionamento dei backup, manutenzione dell’archivio, etc…)
Se il rischio risultante è superiore rispetto a quanto si ritiene accettabile per tutelare l’interessato, è opportuno prevedere misure per la sua mitigazione.
L’analisi è piuttosto impegnativa e può scoraggiare chi non ha familiarità con queste tematiche ma è un punto cardine nel processo che porta alla conformità al GDPR.
Diventa inoltre una buona occasione per valutare la bontà della propria organizzazione dal punto di vista delle infrastrutture e dell’organizzazione interna. Emergono facilmente criticità che, se risolte in questa sede, possono portare a una maggiore efficienza lavorativa e a una migliore protezione del proprio valore aziendale.
2. Sto tenendo il registro dei trattamenti?
Il registro dei trattamenti è il documento che descrive tutte le caratteristiche dei trattamenti svolti. Oltre a essere la base di partenza per dimostrare la conformità in caso di controllo, è molto utile per avere un quadro completo e aggiornato di tutti i trattamenti.
Attenzione! Sebbene il GDPR non lo indichi sempre come obbligatorio, un chiarimento del garante italiano specifica che è necessario nella grande maggioranza delle situazioni. Basta infatti avere anche solo un dipendente perché la sua tenuta diventi automaticamente un obbligo.
3. Sto rilasciando un’informativa privacy adeguata?
L’informativa privacy che viene rilasciata agli interessati, ovvero alle persone fisiche cui si riferiscono i dati, deve illustrare in modo chiaro, conciso ed esaustivo come vengono trattati i dati raccolti, per quali finalità, con chi vengono condivisi e per quanto tempo saranno conserverai.
Deve inoltre riportare i diritti dell’interessato e i contatti del referente privacy a cui eventualmente può rivolgersi in caso di necessità.
Infine, l’informativa deve essere facilmente accessibile e sempre aggiornata.
4. L'interessato può prendere visione dell'informativa prima di lasciare i suoi dati?
Un interessato al trattamento deve poter sempre visionare l’informativa privacy prima che vengano raccolti i suoi dati. Ciò soddisfa il principio di trasparenza richiesto dalla normativa. Qualora per alcune specifiche finalità d’uso fosse necessario il consenso esplicito dell’interessato, questo deve essere conservato affinché sia dimostrabile agli organi di controllo. L’interessato deve avere la facoltà di revocare il consenso in qualsiasi momento pertanto, sempre col fine di dimostrare la propria conformità, i consensi e le revoche vanno opportunamente storicizzate.
5. Quali misure di sicurezza sto adottando per proteggere i dati personali che sto trattando?
Il GDPR richiede che siano adottate misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio. Spetta pertanto al Titolare/Responsabile del trattamento, valutare le metodologie più consone a ridurre al minimo il rischio di distruzione, perdita, modifica accidentale, rivelazione e accesso non autorizzato.
6. Sto eliminando dai miei archivi tutti i dati che non ho più motivo di conservare?
Alla scadenza del termine di conservazione, al venir meno delle condizioni che ne motivano il trattamento oppure quando l’interessato ne fa esplicita e legittima richiesta, è obbligatorio cancellare i dati personali presenti nei propri archivi. Questo perché, sempre nell’ottica di ridurre i rischi per l’interessato, il GDPR chiede che i dati personali siano conservati per il minor tempo possibile.
7. In caso di violazione grave dei dati personali so come darne comunicazione al garante?
Una violazione si verifica quando un dato personale viene:
- perso
- corrotto
- divulgato senza autorizzazione
- rubato
Una violazione sui dati personali si considera grave quando comporta un rischio, medio o alto, per i diritti e le libertà dell’interessato. In caso di violazione grave è necessario darne comunicazione al Garante della Privacy entro 72 ore dal momento in cui il fatto è stato accertato. Se il rischio è molto alto, occorre darne comunicazione anche agli interessati.
Un esempio di violazione dei dati è il furto del notebook aziendale oppure lo smarrimento di una chiavetta USB contenenti dati personali.
L'OBIETTIVO DEL GDPR
Molti vedono gli obblighi imposti dal GDPR solamente come un’incombenza inutile e costosa. Non si rendono conto che l’obiettivo della normativa non è quello di complicare la vita a chi lavora o di rimpinguare le casse dello stato con nuove sanzioni bensì proteggere i cittadini dell’UE. I dati personali sono importanti perché di fatto in gioco ci sono i diritti, le libertà e, in alcuni casi, anche la vita delle persone.
Facciamo alcuni esempi pratici per rendere meglio l’idea:
- se una persona sta affrontando un problema di dipendenza dal gioco d’azzardo e questa informazione finisce in mani sbagliate, potrebbe diventare vittima di istigatori che vogliono approfittarsi della sua condizione di fragilità;
- se i problemi di salute di una persona diventano pubblici, potrebbe avere maggiori difficoltà a trovare un lavoro;
- se le difficoltà economiche di una famiglia finiscono sulla bocca di tutti, il figlio potrebbe diventare oggetto di bullismo.
Si comprende facilmente come le conseguenze per l’individuo, in base al contesto, possono essere importanti e talvolta anche molto gravi. Un aspetto del genere non può essere ignorato.
LE SANZIONI
Anche dopo aver scoperto di essere molto lontani dalla conformità al GDPR, molti continuano a disinteressarsene nella convinzione che il Garante non faccia controlli alle piccole aziende.
Sebbene la maggior parte dei controlli avvengano sulla base di un programma a cadenza semestrale, i restanti sono disposti in seguito a reclami e segnalazioni da parte dei cittadini. Per ricevere una visita ispettiva, basta che un cliente faccia un esposto sul sito del Garante. Come motivazione è sufficiente che non abbia potuto visionare l’informativa privacy o che questa non sia sufficientemente chiara.
Come indicato nell’art.83 del GDPR, le infrazioni più gravi portano a multe che possono arrivare fino al 4% del fatturato totale annuo o a un massimo di 20 milioni di euro. Le sanzioni milionarie generalmente riguardano le grandi organizzazioni, per via dei volumi di dati gestiti. Ciò non toglie che per qualsiasi azienda – sebbene l’importo sia ridotto in proporzione – la perdita improvvisa di molta liquidità può essere un evento destabilizzante.
Nel migliore dei casi, se l’inadempienza non è particolarmente grave, si potrebbe ricevere un semplice ammonimento.
In tutti gli altri casi sarà sicuramente inflitta una sanzione. Una informativa privacy non idonea o gestita in modo sbagliato viene sicuramente sanzionata.
CONCLUSIONI
L’insieme dei punti sopra elencati sembra richiedere un lavoro immane.
In realtà, con la messa in campo di competenze tecniche specifiche, la rivisitazione di alcune procedure aziendali e l’utilizzo dei giusti strumenti informatici, è possibile rendere la propria attività lavorativa pienamente conforme al GDPR.
I benefici che ne derivano sono sia di tipo organizzativo che reputazionale.
PersonalDOX è il software che abbiamo realizzato per facilitare le organizzazioni che vogliono raggiungere la conformità al GDPR. Consente sia di progettare l’impianto privacy che di semplificare la gestione documentale e la comunicazione con l’interessato al trattamento.
Scopri le sue funzionalità visitando la pagina di PersonalDOX
Condividi:
Articoli collegati
L’informativa privacy
Il principale strumento per informare l’interessato al trattamento
La profilazione
Un puzzle fatto con i pezzi della nostra identità
Digitalizzazione e dematerializzazione degli archivi
La digitalizzazione dei documenti è un percorso che tutte le aziende dovranno intraprendere
Gamification e privacy
Il divertimento in azienda è positivo, attenzione però alla privacy
L’errore umano nella gestione della privacy
La causa principale delle violazioni dei dati è da imputare all’errore umano