Professionisti e imprese: perché adeguarsi al GDPR e quali vantaggi apporta all’organizzazione
Come ormai noto, l’entrata in vigore, a livello Europeo, del Regolamento Generale sulla Protezione dei Dati (GDPR) ha comportato, per professionisti ed imprese, la necessità di adeguarsi alle nuove disposizioni normative in tema di protezione dei dati, privacy ed “accountability”.
Più nello specifico il GDPR si applica in tutte quelle ipotesi in cui venga posto in essere un trattamento di dati personali e, dunque, nessuno è esente dal rispetto del GDPR.
Le PMI ed i professionisti, in particolare, devono rispettare il GDPR nel trattare dati personali ma, non esistendo standard fissi, la tutela dei dati personali va pensata ad hoc, considerando le specificità aziendali: le disposizioni generali devono essere lette come tali e poi applicate facendo riferimento alle singole realtà professionali. Devono, inoltre, essere sempre esplicitate le modalità di raccolta dei dati, le finalità per ciascun dato, quali soggetti sono autorizzati ad accedervi e quali misure sono poste in essere per proteggerli.
In generale, ogni soggetto che tratti dati sensibili e/o personali deve procedere ad una analisi del grado di sicurezza dei dati trattati, delle applicazioni di tali dati, delle proprie reti e della propria utenza, solo dopo tale analisi sarà opportuno procedere ad una analisi dei rischi in cui incorre, individuando le possibili minacce ai dati trattati dall’azienda e quali soluzioni adottare per la protezione di tali dati.
Ad ogni modo, i principali doveri che ogni azienda dovrebbe rispettare per non incorrere nelle sanzioni previste dal GDPR per l’inosservanza delle norme relative al trattamento dei dati personali sono:
- Consegnare a tutti i soggetti interessati l’informativa privacy, appositamente redatta e contenente tutti i contenuti prescritti ex art. 13 GDPR (tale incombenza è la più importante in quanto solo per mezzo di tale documento il titolare del trattamento, informa il soggetto interessato circa le finalità e le modalità del trattamento medesimo: è lo strumento atto a legittimare e a rendere trasparente la raccolta e l’utilizzo di dati personali);
- In tutti quei casi in cui il Regolamento lo prevede (ex artt. 37 e seguenti), procedere alla nomina di un Responsabile della Protezione dei Dati (RPD), figura indicata anche come Data Protection Officer (DPO), formata appositamente al fine di agevolare l’attuazione del regolamento da parte del titolare del trattamento dei dati personali, che deve ottenere il consenso libero e informato degli utenti interessati;
- La redazione di un apposito registro delle attività con i dettagli delle policy aziendali e delle procedure adottate (aziende con più di 250 dipendenti, nonché nel caso di trattamento di dati ritenuti rischiosi o relativi a precise categorie di dati sensibili);
- La tutela della riservatezza dei dati e, dunque, garantire il rispetto di tale riservatezza attraverso strumenti idonei ad impedire l’accesso ai dati da parte di soggetti terzi non autorizzati;
- Il rispetto delle procedure standard di protezione (cifratura dei dati) e la costante verifica delle misure tecniche adottate per garantire la piena integrità dei sistemi e dei servizi di trattamento;
- Il ripristino, in caso di incidenti fisici o tecnici, della disponibilità e dell’accesso ai dati personali, previo avviso immediato al Garante Privacy in caso di data breach.
In ogni caso, ai fini della migliore tutela dei dati personali e del Titolare del trattamento è consigliabile la predisposizione di un apposito organigramma privacy al fine di permettere una migliore individuazione e definizione dei soggetti (persone fisiche), dei loro ruoli e delle loro responsabilità nel trattamento dei dati personali.
Quali vantaggi può apportare all’organizzazione il fatto di adeguarsi al GDPR?
Adeguarsi al GDPR viene visto il più delle volte come un’incombenza e non come un’opportunità!
Vediamo allora quali vantaggi può apportare all’organizzazione il fatto di adeguarsi al GDPR.
Innanzitutto il regolamento europeo 2016/679 può essere lo strumento giusto per rivedere il flusso delle informazioni dal momento in cui entrano fino a quando escono.
Ad esempio, un sito e-commerce come riceve le informazioni dei suoi clienti? Quasi sempre grazie ad un form specifico.
Bene. Chi raccoglie questi dati? Sa cosa fare? E’ stato formato per trattare i dati delle persone? Il sistema digitale dove vengono conservati è sicuro? C’è un anti-virus? I dati vengono criptati? Sono richiesti solo quelli necessari?
Rispondere a queste domande significa migliorare l’organizzazione, renderla più efficiente e quindi più efficace. Nel contempo, però, rispondere a queste, insieme ad altre domande, significa anche adeguarsi al GDPR.
Un ulteriore vantaggio per il quale vale la pena di adeguarsi al GDPR è quello di raccogliere il minimo dei dati personali.
Serve raccogliere tante informazioni che poi non verranno mai utilizzate? Ad esempio, per fornire un servizio di newsletter ha senso chiedere agli utenti anche il numero di telefono? Se la nostra organizzazione manda solo comunicazioni cartacee ha senso chiedere l’indirizzo email?
Anche in questo caso, rispondere alle domande di cui sopra non aiuta solo ad essere in linea con il regolamento europeo 2016/679 e magari a farci evitare le sanzioni. E’ determinante anche per migliorare la nostra organizzazione e, cosa non da poco, anche ottimizzare i costi indirizzando le energie verso ciò che è davvero importante.
Infine, un ulteriore vantaggio è quello di seguire il flusso delle informazioni che ti aiuterà ad organizzare meglio il lavoro. Rispondere alle semplici domande di un data protection officer ti aiuterà anche a risalire lungo tutto il processo organizzativo e, di conseguenza, a migliorarlo.
Per saperne di più o per richiedere una consulenza gratuita non esitare a contattarci a info@studioevoluto.it oppure compila il form sottostante e ti contatteremo al più presto
