“La tutela dei tuoi dati è una priorità per noi” è il messaggio chiave sostenuto dalle autorità competenti nell’ambito della protezione dei dati personali, al fine di sensibilizzare l’opinione pubblica sull’importanza della privacy.
Il Regolamento Generale sulla Protezione dei Dati (RGPD o GDPR) ha introdotto importanti disposizioni volte a garantire la protezione dei dati personali e ha influenzato notevolmente il panorama normativo.
La portata ampia del GDPR implica che ogni azienda e professionista debba conformarsi alle disposizioni del regolamento e delle leggi nazionali in materia di privacy.
Nonostante siano trascorsi alcuni anni dall’entrata in vigore del GDPR, molte imprese non hanno ancora completato o nemmeno avviato il processo di adeguamento, esponendosi a rischi significativi in termini di sanzioni e impatti sul business.
In questo articolo, verranno fornite linee guida per l’adeguamento delle aziende al GDPR e alle normative sul trattamento e protezione dei dati in generale, con un approccio pratico e sintetico.
Analisi aziendale e identificazione delle attività di trattamento
Prima di tutto, ogni azienda deve identificare le attività di trattamento dei dati personali e i tipi di dati trattati all’interno delle proprie operazioni. Questa analisi preliminare è essenziale per sviluppare una strategia efficace di protezione dei dati.
Spesso e volentieri si usa sottovalutare il trattamento dei dati personali in contesti come artigianato o piccoli negozi, ma anche queste attività possono implicare la gestione di informazioni personali che devono essere trattate nel rispetto del GDPR.
Una volta identificate le attività di trattamento e i dati personali coinvolti, è necessario analizzarli considerando diversi aspetti:
- Modalità di raccolta dei dati.
- Finalità del trattamento.
- Legittimità del trattamento.
- Modalità di conservazione.
- Durata della conservazione.
Per agevolare questa analisi, è consigliabile esaminare i moduli di raccolta dati, verificare i consensi ottenuti, identificare le finalità del trattamento e censire gli archivi utilizzati.
È importante ricordare che non sempre è necessario ottenere il consenso dell’interessato per ogni finalità di trattamento. Ad esempio, il trattamento dei dati per l’esecuzione di un contratto può essere legittimato dalla natura stessa del contratto.
Questa fase iniziale fornisce all’azienda una panoramica completa delle sue attività in termini di privacy.
Valutazione dei rischi e implementazione di misure di sicurezza
Dopo aver identificato le attività di trattamento, l’azienda deve valutare i rischi connessi e implementare misure per mitigarli e garantire la sicurezza dei dati.
Una corretta valutazione del rischio consente di ridurre le possibili sanzioni e proteggere il patrimonio informativo dell’azienda.
Le misure di sicurezza devono essere adeguate al rischio e devono essere tecniche e organizzative. È compito del Titolare adottare precauzioni adeguate e essere in grado di giustificare le scelte effettuate.
È fondamentale prevedere la capacità di ripristinare rapidamente l’accesso ai dati in caso di incidenti.
Un buon antivirus, firewall, password robuste e backup regolari sono essenziali per proteggere i dati aziendali da minacce cibernetiche.
Misure organizzative
È importante rafforzare le misure organizzative per garantire una gestione consapevole delle attività di trattamento. Questo può includere la definizione di procedure per la gestione delle violazioni dei dati e l’uso degli strumenti informatici.
La formazione del personale è cruciale per garantire che tutti coloro che trattano dati personali siano adeguatamente formati e informati.
Nomina di un responsabile per la protezione dei dati (DPO o RPD)
Il Responsabile per la protezione dei dati è una figura chiave incaricata di sensibilizzare il personale e garantire la conformità al GDPR.
La sua designazione, regolata dall’art. 37 del GDPR, è tuttavia obbligatoria solo in alcune circostanze:
a) il trattamento deve essere effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento devono consistere in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
c) le attività principali del titolare del trattamento o del responsabile del trattamento devono consistere nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10 del GDPR.
Tali elementi solitamente emergono sempre a seguito della prima analisi che l’azienda è chiamata a effettuare. Sarà pertanto compito del Titolare valutare la necessità o opportunità di nominare un Responsabile della Protezione dei dati.
Predisposizione dell’informativa privacy per gli interessati
L’azienda deve fornire agli interessati informazioni chiare e trasparenti sul trattamento dei loro dati personali. Questo include informazioni sull’identità del Titolare, le finalità del trattamento e i diritti dell’interessato.
L’informativa deve essere personalizzata deve essere chiara, concisa, precisa e trasparente senza indurre a interpretazioni errate da parte dell’interessato che deve leggerla.
In questo caso la quantità di informazioni contenute nel documento non è quasi mai sinonimo di qualità e lo dimostra lo stesso approccio che molte grandi società stanno adottando con comunicazioni privacy sempre più smart e focalizzate nel fornire, almeno ad un primo impatto, poche e precise informazioni (servendosi anche di iconografie).
Sempre in tema di diritti, dopo aver correttamente informato l’interessato, l’azienda è tenuta ad agevolare l’esercizio dei diritti previsti dal GDPR, tra cui il diritto di Accesso, di Rettifica e di Cancellazione.
Individuazione dei ruoli e disciplina dei rapporti con i soggetti coinvolti
L’azienda deve identificare chiaramente i soggetti che trattano dati personali per conto del Titolare e stabilire ruoli e responsabilità in modo appropriato.
Redazione del Registro delle attività di trattamento
Il Registro delle attività di trattamento contiene informazioni cruciali sulle operazioni di trattamento svolte dall’azienda ed è fondamentale per ispezioni e controlli.
È uno dei primi documenti che viene richiesto in caso di ispezione, nonché un valido supporto per l’analisi e il controllo dei propri trattamenti.
L’obbligo di tenuta del Registro è stato spesso sottovalutato dalle aziende, anche perché si è diffusa l’errata convinzione che “chi ha meno di 250 dipendenti non è tenuto ad adempiere a quest’obbligo”.
In realtà, sebbene l’art. 30, par. 5 del GDPR specifichi che: “Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti […]”, questa esenzione non si applica se:
- il Titolare effettua trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
- il Titolare effettua trattamenti non occasionali;
- il Titolare effettua trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 GDPR, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 GDPR.
Di conseguenza qualunque esercizio commerciale o artigiano con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che tratti dati sanitari dei clienti (es. estetisti, ottici, odontotecnici, tatuatori) è tenuto alla redazione e conservazione del Registro.
Conformarsi al GDPR è un processo continuo che richiede monitoraggio e aggiornamento costanti. È importante che le aziende comprendano l’importanza di proteggere i dati e adottino misure adeguate per garantire la conformità alle normative sulla privacy.