fbpx
MENU
TORNA ALLE NEWS
26 Aprile 2018

Guida pratica al Gdpr per le aziende

Il 25 maggio 2018 entrerà in vigore il Gdpr, il Regolamento Europeo per la Protezione dei Dati.
E’ possibile prenotare on-line i servizi cliccando QUI
Vi sono molteplici attività di analisi, valutazione, progettazione e documentazione, e non vi saranno proroghe.
L’intero processo relativo al trattamento dei dati viene posto al centro della normativa: sai come acquisisci i dati che possiedi? Sei autorizzato a farlo? Sai dove li memorizzi? Sai chi vi può accedere? Sai proteggerli dai molteplici rischi? Sai per quanto tempo puoi tenerli?
Bene, sei pronto per passare alla fase successiva del Gdpr. Se non sai rispondere a queste domande, è bene fermarsi e predisporre l’azienda alla consapevolezza.
Il Gdpr riparte da un elemento fondamentale e intuitivo, quanto tuttora disatteso: i dati costituiscono il tuo tesoro; per proteggerli devi innanzitutto sapere quali hai, dove si trovano e chi ha le chiavi per accedervi. È un’attività che ciascuna azienda potrebbe portare a termine in modo autonomo.
Tuttavia, un errore comune è trascurare che le risorse digitali cambiano rapidamente per cui, quello che va attivato non è un processo puntuale, ma un processo continuativo che garantisca l’aggiornamento costante delle modalità relative al trattamento dati.
Tutto ciò, poi, non va realizzato per soddisfare le norme del Gdpr; va fatto perché non si può proteggere un tesoro che non si sa di avere. Il Gdpr contiene un’altra apprezzabile novità orientata a promuovere la maturità aziendale: non vi sono misure minime di sicurezza a cui aggrapparsi come nel dps, ma un data protection impact assessment.
In pratica, ciascuna azienda deve effettuare una propria analisi dei rischi e, a seconda degli esiti, procedere a specifiche azioni di trattamento del rischio tra elusione, riduzione e trasferimento, ma anche a princìpi moderni di privacy by design e privacy by default.
Ciascuna scelta conduce a un progetto che ha bisogno di un responsabile, di risorse, di competenze e di scadenze.
Tuttavia, la novità che sta inducendo ad adeguarsi al Gdpr, anche più delle sanzioni, è l’introduzione dell’obbligo di notifica agli interessati in caso di violazione dei dati personali.
Le conseguenze sono chiare. Un incidente non si potrà più gestire investendo nel silenzio, ma al contrario richiederà un adeguato processo di gestione della comunicazione verso l’authority, gli interessati, e tutti i mezzi di comunicazione inclusi i social.
Un ulteriore esempio che il Gdpr si fonda su una crescita della governance indispensabile per affrontare il mondo digitale.
Le aziende che sapranno cogliere l’occasione di questa norma per maturare in tal senso avranno i propri benefici dal mercato, non dalle mancate sanzioni.
Che impatto ha il Gdpr sulle piccole e medie imprese? E sui freelance?
E’ possibile prenotare on-line i servizi cliccando QUI
Il regolamento coinvolge chiunque abbia a che fare con dati personali.
Dove per dato personale si intende, secondo l’Art.4, “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità̀ fisica, fisiologica, genetica, psichica, economica, culturale o sociale“.
Pertanto, se gestite anche solo una newsletter, state trattando dati personali (le mail).
Si può iniziare a fare un controllo delle cose da fare avendo a mente la lista preparata da ICO, il Garante inglese, e quella del Garante Italiano.
Molto del lavoro da fare dipenderà dal tipo di attività che si svolge e dalla quantità e qualità dei dati che si trattano.
Se avete una salumeria avrete ben poco da fare, se avete un blog è il caso di cambiare la privacy e la cookie policy, se avete un’azienda di software, è l’ora di darsi una mossa.
1. Aumentare la consapevolezza:
A prescindere dalle dimensioni della vostra azienda, informatevi e informate il vostro personale dell’arrivo del Gdpr e della maggior accortezza necessaria nel processare i dati dei clienti, così come nell’impostare adeguate procedure di sicurezza sui computer. Ad esempio: niente più post-it sullo schermo con la password, non lasciare il computer accessibile quando si va in pausa pranzo, non consentire l’accesso ai dati a tutti i dipendenti dell’azienda se non ve ne è motivo.
2. Verificare le informazioni e i dati che si posseggono:
Capire che tipo di dati si trattano nella propria attività, da dove vengono e con chi si condividono, inclusi i servizi ed i software che li gestiscono. Che programma usate per le mail, il cloud o la newsletter? Sono affidabili? Ho una regolare licenza d’acquisto o li hai scaricati? La mancata licenza infatti non darebbe la tutela contrattuale prevista in caso di malfunzionamenti e perdita o diffusione di dati non autorizzata. Valutare inoltre se si ha bisogno di tutti i dati in possesso o, quando si è fatto il form, si sono chieste più informazioni di quelle necessarie.
3. Rivedere le informative sulla privacy:
Le informative sulla privacy e sui cookie vanno riviste alla luce del Gdpr. Il linguaggio deve essere chiaro e va spiegato per quali scopi saranno usati i dati, vanno fornite tutte le informazioni relative al titolare del trattamento dei dati, inclusi i contatti per chiedere modifiche o cancellazioni. Bisogna poi spiegare su quale base vengono forniti quei dati (consenso, un contratto, un legittimo interesse, etc.) e per quanto tempo saranno conservati o secondo quali criteri. Si deve dire se i dati saranno trasferiti verso Paesi terzi, fuori dall’Unione Europea, cosa molto probabile se si usano servizi come social network o mailchimp. Importante anche informare l’utente della possibilità di ricorrere al Garante e all’autorità giudiziaria. Infine, queste informazioni non devono essere nascoste nei meandri del sito internet ma ben visibili e facilmente accessibili.
4. Occhio al consenso:
Il consenso è diventato ancora più importante di quanto non lo fosse prima. Ad esempio, il consenso del cookie banner del vostro sito, se era stato ottenuto in modo implicito o comunque ambiguo (“se continui nella navigazione accetti le condizioni”) va riottenuto fornendo una reale possibilità di scelta, con un’azione chiara e affermativa. Così come, nonostante fosse vietato anche prima, si ricorda che non si possono fornire formulari, web o cartacei, pre-compilati o con un consenso valido per tutto (come trattamento dei dati e marketing). Il consenso al trattamento dei dati va inoltre separato dai Termini e Condizioni del servizio.
5. Garantire i diritti delle persone:
Assicurarsi di poter rispondere a richieste di cancellazione, rettifica e modifica ad esempio, tenendo a mente che non ogni richiesta va evasa. Se un cliente vi deve pagare, non può chiedere la cancellazione dei dati inerenti le comunicazioni e le fatture emesse. Importante anche essere in grado di individuare i dati di un soggetto, sapere dove sono per poter agire e rispondere in tempi brevi (massimo 30 giorni), con linguaggio comprensibile.
6. Saper gestire violazioni e fughe di dati:
Avere i mezzi (antivirus aggiornati ad esempio) per essere in grado di verificare se c’è stata una fuga di dati ed essere in grado di capire che tipo di dati sono stati presi. Se la fuga può mettere a rischio i diritti e le libertà degli individui (danno reputazionale, perdite finanziarie..) allora deve essere notificato entro 72 ore al Garante e all’interessato. Al di là delle notifiche, ogni violazione e fuga di dati va documentata, “comprese le circostanze, le sue conseguenze e i provvedimenti adottati per porvi rimedio” (art. 33).
7. Valutare se si ha bisogno del Dpo:
Nominare un Dpo, ossia un data protection officer, un responsabile per la protezione dei dati, non è necessario se l’impresa non monitora regolarmente i dati su larga scala e non tratta dati sensibili, ovvero dati come quelli sanitari, quelli relativi alle opinioni politiche, al credo religioso, all’orientamento sessuale. Secondo le indicazioni del Garante non si deve nominare un Dpo nei casi di “trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti“.
 
Beneggi e Associati supporta le Aziende, enti pubblici e professionisti in questo necessario passaggio di adeguamento al GDPR con il supporto di professionisti specializzati nella materia.
 
E’ possibile prenotare on-line i servizi cliccando QUI
 

condividi.

articoli correlati.

27 Marzo 2024
La rivoluzione normativa per il mercato dei capitali: sintesi della Legge n. 21 del 5 Marzo 2024 (Legge Capitali)
leggi
27 Marzo 2024
Stop definitivo alla cessione dei crediti: cosa cambia per imprese e contribuenti
leggi
26 Marzo 2024
Nuove sanzioni per il lavoro nero: cosa cambia con il decreto PNRR
leggi
26 Marzo 2024
Mutuo prima casa: rimborso esente dell’onere detraibile e le sue implicazioni
leggi
22 Marzo 2024
Guida alla fiscalità delle donazioni
leggi
22 Marzo 2024
Adempimenti anagrafe rapporti per le Holding: guida e supporto professionale
leggi