La sfida era quella di sintetizzare al massimo il senso della nuova normativa privacy, in modo da renderla accessibile ai non addetti ali lavori. Sicuramente non esaurisce la spiegazione, il senso e i concetti profondi che il regolamento europeo ha generato, ma ne fornisce una rapidissima panoramica.

Ricordiamo che la responsabilità dell’applicazione corretta delle regole, imposte dalla normativa, ricade quasi totalmente sul “titolare” o “contitolare” dei trattamenti, ruolo rivestito dalla ditta, ente, professionista o, in generale, da chi definisce il “perimetro” e le finalità dei trattamenti di dati da effettuare e, in seconda battuta, sul “responsabile esterno”, cioè su chi tratta dati per conto del titolare dei trattamenti, tipicamente, persona o entità giuridica esterna all’organizzazione.

Il GDPR in pillole:

Cos’è:

si riferisce al Regolamento Europeo per la Protezione dei Dati (Reg EU 679/2016) e al codice privacy italiano (D.lgs. 196/2003) novellato dal D.lgs. 101/2018. Il regolamento è entrato in vigore nel 2016 e ha preso piena efficacia nel maggio del 2018. Esso riguarda esclusivamente i dati relativi alle persone fisiche.

2. A cosa serve:

serve a tutelare i diritti fondamentali delle persone dell’Unione Europea a cui i dati si riferiscono: deve prevenire gli illeciti e tutelare la massima protezione dei dati personali sensibili e non sensibili; migliorare la trasparenza sui trattamenti e fornire le modalità di gestione per chi decide i dati e le finalità dei trattamenti (titolari dei trattamenti).

3. In cosa consiste:

è un complesso regolamento che richiama una serie di adempimenti, in tema di trattamento di dati. Alcuni adempimenti sono formali e organizzativi, altri sono tecnici e tecnologici. Il regolamento consiste il 99 articoli, 176 considerando e molte linee guida da parte delle autorità garanti. Uno dei concetti base è quello dell’accountability cioè della responsabilizzazione del titolare dei trattamenti che ha l’obbligo di mettere in atto tutte le misure tecniche e organizzative idonee a tutelare e proteggere i dati personali che tratta. Altri concetti chiave sono: la minimizzazione dei trattamenti (i dati vanno trattati solo nella minima misura indispensabile, nella loro quantità e nel tempo); la privacy by design e by default (ogni processo aziendale deve tenere conto della conformità rispetto alla normativa e prevedere delle misure definite di protezione e tutela dei dati).

4. Chi deve adempiere:

tutte le ditte, anche individuali, i professionisti, gli enti pubblici, le associazioni, le cooperative, etc., in pratica tutte le entità giuridiche, a prescindere dall’attività e dal fatturato.

5. Quali sono i principali adempimenti:

è obbligatorio analizzare i trattamenti di dati effettuati, valutare e documentare i rischi e le protezioni attuate;
implementare tutte le misure minime di tutela e protezione dei dati, sia organizzative che tecniche;
se presenti dipendenti e/o se vengono trattati dati particolari (sensibili) redigere il registro dei trattamenti (documento che mappa i trattamenti e riporta una serie di informazioni sugli stessi e su tutte le dinamiche ad essi applicati);
nominare con atti giuridici validi autorizzati al trattamento e responsabili esterni, per esempio, il commercialista, il consulente del lavoro, etc.;
redigere le informative specifiche e gli eventuali consensi, ove necessario (per i dipendenti; per i clienti; per il sito web; per la videosorveglianza; etc.);
effettuare la formazione obbligatoria a tutti i soggetti che trattano i dati;
se presente un impianto di videosorveglianza:
analisi di impatto privacy; informativa specifica; eventuale nomina di responsabilità esterna; inserimento del trattamento nel registro dei trattamenti; se ci sono dipendenti e le riprese avvengono in zone di competenza (interni, cortili, zona carico/scarico, etc.) autorizzazione dell’Ispettorato del Lavoro;
in caso di trattamento massivo di dati sensibili, nomina dell’RPD (Responsabile Protezione Dati);
in caso di diffusione dei dati in paesi extra europei, valutare una serie di parametri (decisioni di adeguatezza, basi giuridiche. Vedi sito del Garante) in base al paese destinatario.
in caso di violazione dei dati, seguire iter ben preciso: registro degli incidenti; notifica al Garante entro 72 ore; comunicazione agli interessati della violazione avvenuta, se esiste rischio per i soggetti interessati.

6. Chi effettua i controlli:

la Guardia di Finanza, tramite il Nucleo Privacy, ma le segnalazioni al Garante possono giungere anche dai dipartimenti locali della Guardia di Finanza; da qualsiasi organo di controllo delle forze dell’ordine (esempio Polizia Amministrativa); da qualsiasi cittadino. Attenzione alle controversie con i dipendenti, con i clienti, con i concorrenti, etc.

7. Come mantenere la conformità nel tempo:

è indispensabile aggiornare periodicamente, almeno una volta all’anno, la documentazione; effettuare la formazione ai nuovi collaboratori; aggiornarsi sulle nuove linee guida del Garante; progettare tutti i nuovi processi aziendali sulla base delle regole del GDPR (esempio: voglio fare delle mail promozionali ali clienti. Che regole devo seguire per essere a norma con la privacy?); aggiornare i software e le password; effettuare un audit.

Daniele Umberto Spano

Per approfondimenti, adeguamenti, consulenza privacy e analisi di sicurezza del sistema informatico contattaci CLICCANDO QUI

Post correlati

15 Ottobre 2024

Privacy for dummies, ovvero, il GDPR in 7 pillole

Post correlati

L’aggiornamento dei dati GDPR nei processi di certificazione aziendale per la sostenibilità (ESG)

Dipendenti: obbligo in tema di GDPR. Rischio di sospensione dal lavoro e dalla paga.

Settore turistico: la privacy non va in vacanza