Guida alla privacy per aziende: GDPR e trattamento dei dati personali

La privacy è uno dei temi più caldi dei nostri tempi e, stando a quanto riportato dalla normativa vigente (GDPR), ogni attività deve rispettarla.

Che si parli di un’azienda o un professionista non fa alcuna differenza, le sanzioni per chi infrange le regole sono elevate.

Per evitare che questo accada, è opportuno conoscere quanto espresso dalla legge sulla privacy e assicurarsi che la propria attività sia in regola.

In questo articolo abbiamo preparato una guida semplice al trattamento dei dati personali per chiarire ogni dubbio.

Se non dovesse bastare, puoi contare sul nostro servizio di consulenza per quanto riguarda la Privacy e la sicurezza dei dati nella tua azienda. I nostri esperti sono sempre aggiornati su questa materia in continua evoluzione, contattaci per saperne di più.

GDPR: cos’è il regolamento generale sulla protezione dei dati

Il Regolamento generale sulla protezione dei dati è:

“Il regolamento europeo che disciplina il modo in cui le aziende e le altre organizzazioni trattano i dati personali”.

L’acronimo GDPR in inglese significa General Data Protection Regulation. In italiano si traduce con Regolamento Generale sulla Protezione dei Dati (RGPD).

È il provvedimento più significativo degli ultimi 20 anni in materia di protezione dei dati.

Questa normativa ha implicazioni importanti per qualsiasi organizzazione al mondo che si rivolga ai cittadini dell’Unione Europea.

La legislazione punta a dare a ogni individuo il controllo sull’utilizzo dei propri dati, tutelando “i diritti e le libertà fondamentali delle persone fisiche”.

Si stabiliscono così requisiti precisi e rigorosi per il trattamento dei dati, la trasparenza, la documentazione da produrre e conservare e il consenso degli utenti.

Privacy in azienda: Cosa fare

Le aziende coinvolte nella normativa sulla privacy devono adeguarsi a quanto espresso nel GDPR. Data anche la complessità di questo argomento delicato è opportuno agire in più fasi, per fare in modo di non sbagliare.

Se vogliamo semplificare la strada da seguire, possiamo individuare un percorso in sei step, che permetterà di avere tutte le carte in regola. A questo proposito sarà opportuno eseguire:

  • Analisi dell’azienda e individuazione delle attività di trattamento;
  • Valutazione dei rischi e implementazione delle misure di sicurezza;
  • Nomina, se necessario, di un responsabile per la protezione dei dati (DPO o RPD)
  • Predisposizione dell’ informativa Privacy per gli interessati;
  • Individuazione dei ruoli e disciplina dei rapporti con i soggetti coinvolti;
  • Redazione del Registro delle attività di trattamento.

Trattamento dati personali: Analisi dell’azienda

Prima di tutto il datore di lavoro dovrà eseguire un’analisi preliminare, per individuare le attività di trattamento e le tipologie dei dati trattati.

Se per alcune aziende è più evidente la necessità di seguire le regole del GDPR, per altre situazioni sarà necessario un ragionamento più profondo. In linea di massima comunque: chiunque sia in possesso di dati personali appartenente a terzi è coinvolto.

Per semplificare l’analisi e capire in quali situazioni il GDPR ha validità è opportuno fare un lavoro di inventario sui documenti presenti in azienda. In ogni caso in cui si trovino le specifiche di un soggetto terzo è necessario ottenere il consenso dell’interessato.

Trattamento dati personali: Valutazione dei rischi

Una volta terminata l’analisi si avrà un quadro più preciso sulle attività svolte. Sulla base di quanto emerso sarà necessario implementare le misure necessarie a inibire i rischi correlati.

Questa indagine servirà a produrre delle misure per:

  • Evitare che si verifichino perdite, modifiche o accessi non autorizzati alle informazioni possedute dall’azienda;
  • Evitare sanzioni e richieste di risarcimento danni da parte degli interessati;
  • Tutelare il proprio data base, una risorsa molto importante per le aziende;
  • Assicurare la capacità di ripristinare i dati in caso di incidente fisico o tecnico o a seguito di un hackeraggio.

Ovviamente le misure da adottare saranno commisurate al livello di rischio dell’azienda.

Trattamento dati personali: Nomina RPD o DPO

Il responsabile della protezione dei dati è una figura professionale esperta nella protezione dei dati.

Il suo compito è:

“Valutare e organizzare la gestione del trattamento dei dati personali, e dunque la loro protezione, all’interno di enti come un’impresa, un ente o di una associazione, affinché questi siano trattati in modo lecito e pertinente”.

L’art. 37 par. 1 del GDPR, stabilisce dei casi specifici in cui la designazione del DPO è da considerarsi obbligatoria:

  • Nel settore pubblico: la nomina di un DPO è sempre obbligatoria (fatta eccezione per le autorità giurisdizionali quando esercitano le loro funzioni),
  • Nel settore privato: la nomina di un DPO è obbligatoria quando il titolare effettua, nel contesto delle proprie “attività principali”:
  1. trattamenti che comportano il “monitoraggio regolare e sistematico” degli interessati su larga scala;
  2. trattamenti “su larga scala” di categorie particolari di dati personali di cui all’art. 9 (dati particolari), o di dati relativi a condanne penali e a reati di cui all’art. 10.

Trattamento dati personali: Informativa Privacy

Il primo caposaldo che viene individuato dal GDPR per tutelare i dati personali è il diritto dell’interessato a essere informato.

Queste informazioni sono fondamentali per garantire la trasparenza necessaria alla tutela della privacy, per questo è necessario produrre l’informativa Privacy. In essa dovranno essere ben chiari:

  • Identità e dati di contatto del titolare del trattamento;
  • Se presente, i dati di contato del Responsabile della protezione dei dati;
  • Le finalità del trattamento (con riferimenti giuridici);
  • Destinatari a cui possono essere comunicati i dati trattati;
  • I diritti del titolare del trattamento
  • L’eventuale obbligatorietà del conferimento dei dati.

Trattamento dati personali: Individuazione dei ruoli e soggetti coinvolti

Uno dei passaggi fondamentali nella valutazione e attenuazione dei rischi connessi alle operazioni di trattamento consiste nell’individuazione dei soggetti coinvolti.

Possono essere interni o esterni alla realtà aziendale e il loro compito è effettuare trattamenti di dati personali per conto del Titolare.

Trattamento dati personali: Registro delle attività di trattamento

Il Registro delle attività di trattamento è un documento contenente le principali informazioni sulle operazioni di trattamento svolte in azienda.

È uno dei primi documenti che viene richiesto in caso di ispezione, nonché un valido supporto per l’analisi e il controllo dei propri trattamenti.

L’obbligo di tenere un Registro è stato spesso sottovalutato dalle aziende. Infatti si è diffusa l’errata convinzione che “chi ha meno di 250 dipendenti non è tenuto ad adempiere a quest’obbligo”.

In realtà invece qualunque esercizio commerciale o artigiano con almeno un dipendente o che tratti dati sanitari dei clienti deve redigere e conservare il Registro.

 

Per altre utili informazioni per la sicurezza nella tua azienda visita il nostro sito, noi di Grimani Consulenze abbiamo servizi dedicati ad ogni esigenza.

Sei già iscritto alla nostra Newsletter? Compila il form qui sotto per non perdere tutti i nostri aggiornamenti.

 



Author: Giorgio Grimani
Aiuto le imprese ad evitare sanzioni dagli enti di controllo tecnici | QHSE | RSPP | DPO

Lascia un commento