Da qualche mese ormai, noi (e non solo) stiamo caldeggiando alle aziende ed ai professionisti di iniziare l’adeguamento al nuovo regolamento sulla privacy, ormai di imminente applicazione.
Ci sono due modi per trattare questo argomento.
Il primo è che si tratta solo di una scocciatura, l’ennesima novità legislativa piovuta dall’alto, un male inevitabile, un altro adempimento al quale dobbiamo obbedire per forza, prima o poi. E meglio se poi, il più tardi possibile, perché sicuramente è qualcosa che costa tempo, denaro e risorse.
Il secondo è vederlo come una vera opportunità di miglioramento, di crescita della propria organizzazione e professionalità, ma anche di consolidamento di relazioni, di fidelizzazione della clientela, un modo per dare un nuovo valore a chi ci ha dato la sua fiducia. Siano essi clienti, fornitori o dipendenti.
In questi ultimi mesi abbiamo fatto (e continueremo a farlo) opera di divulgazione, spiegazione e sensibilizzazione sui temi legati al GDPR e in generale alla privacy, ma c’è ancora molto da fare.
Ed è per questo che ti vogliamo coinvolgere, caro imprenditore.
Quello della privacy non è più una semplice questione di nomine sulla carta o di informative ben scritte. Si tratta, questa volta, di processi aziendali veri e propri.
Occorre infatti adottare un modello di gestione dei dati, ponendo in essere tutte quelle misure logiche, tecniche, organizzative e, dunque, economiche, per dare vita ad sistema in grado di ridurre il rischio, scongiurare la perdita di dati, le comunicazioni illegittime e gli accessi non autorizzati.
Da cosa dovrai partire: la tua check list di base
Per prima cosa occorre svolgere un’attività di cosiddetta gap analysis, necessaria a valutare, ex ante, gli aspetti inerenti la protezione dei dati e ad identificare un efficace sistema di gestione e protezione dei dati trattati, mediante:
- un censimento accurato dei processi aziendali, dei trattamenti e della tipologia di dati trattati;
- la definizione delle figure privacy aziendali ed esterne, e dei profili di responsabilità giuridica;
- la predisposizione di accurate nomine;
- la regolamentazione dei rapporti interni e con i dipendenti, mediante l’adozione di regolamenti e policy aziendali scritte;
- la raccolta di un consenso libero e informato degli interessati (ma solo quando necessario), rivedendo le informative cartacee e web in ragione dei nuovi diritti concessi dal GDPR agli interessati;
- la valutazione dell’impatto privacy delle nuove tecnologie adottate in azienda e l’adozione di misure di sicurezza adeguate nei sistemi informatici;
- la revisione e l’adeguamento dei contratti rispetto alle novità del GDPR;
- il controllo delle comunicazioni/diffusioni di dati;
- la verifica del trasferimento di dati all’estero;
- la definizione delle procedure in risposta ai diritti degli interessati sui loro dati personali;
- la verifica della conformità di modalità e tempistiche di conservazione dei dati.
Ricorda anche che è importante che:
Il titolare e il responsabile del trattamento, in caso di verifica da parte delle autorità, dovranno essere in grado di dimostrare di aver svolto tutta l’attività citata.
La tua check list avanzata per la conformità al GDPR
Se hai risposto alle domande precedenti in modo “più o meno” chiaro e vuoi scendere nel dettaglio, allora ti proponiamo una check list più specifica fatta da 37 domande divise in 7 sezioni, che puoi scaricare per cominciare a fare un po’ di autovalutazione sullo stato attuale della tua azienda e di come sei attrezzato in materia di privacy.
In questa check list potrai autovalutarti in base a:
- la classificazione generale della tua azienda rispetto alla privacy
- la tipologia di dati trattati
- le informative che utilizzi
- le tipologie di trattamento dei dati che metti in atto
- le policy di sicurezza che hai adottato
- l’eventuale trasferimento dei dati a terzi o all’estero
- la necessità o meno di designare un DPO per seguire da vicino l’attuazione della privacy policy
Una volta risposto a tutte le domande, contattaci e facciamo un primo punto della situazione insieme.
Quando servono misure ancora più specifiche
In tutti quei casi e per quelle imprese che trattano particolari categorie di dati personali, cosiddetti “sensibili” o “supersensibili”, o che si avvalgono di strumenti tecnologici in grado di acquisire informazioni personali di clienti o dipendenti, si renderanno necessarie maggiori misure e accortezze.
Rientrano in queste categorie i dati acquisiti, per esempio, mediante:
- i titolari che acquisiscono dati sanitari, giudiziari o fiscali, ovvero dati personali che possano rivelare l’origine razziale o etnica, le opinioni politiche, l’orientamento e la vita sessuale, le convinzioni religiose o l’appartenenza sindacale delle persone;
- video sorveglianza (vedi l’articolo in cui ne parliamo più approfonditamente);
- conservazione di dati GPS per veicoli aziendali;
- rilevamenti biometrici, come impronte digitali, oculari, riconoscimento facciale, della voce, etc.;
- attività di marketing che fanno uso di profilazione della persona come per gli ecommerce, servizi di messaggistica, app, etc.;
- valutazione sistematica dei comportamenti personali degli individui tramite, ad esempio, registrazione a servizi o app che tracciano questi comportamenti (vedi il caso di Cambridge Analytica e Facebook).
Se il rischio di danni personali riconducibili all’utilizzo improprio dei dati che conserviamo fosse particolarmente alto, oltre che nell’eventualità previste dal GDPR, occorrerà svolgere una valutazione d’impatto sulla protezione dei dati (c.d. D.P.I.A.), attività che comunque è sempre consigliata.
In determinati (ma pochi) casi sarà necessaria anche la specifica nomina di un responsabile della protezione dei dati (il cosiddetto D.P.O. – Data Protection Officer), anche uno solo per un gruppo d’imprese.
Ma ogni realtà aziendale è differente e di conseguenza, caso per caso, diversa sarà l’ampiezza dell’intervento necessario per l’adeguamento, a seconda del rischio effettivo riscontrato.
Ecco perché, prima di inciampare in qualche ingenua sottovalutazione o trascuratezza, è meglio consultarsi con dei professionisti del settore.
In ogni caso non rimanere con i dubbi e non attendere di dover far fronte ai provvedimenti. scrivici o chiamaci.