Una scheda sintetica per adeguarsi alle normative sulla Privacy
Abbiamo già parlato spesso di chi e come deve adeguare la propria attività al regolamento europeo sulla privacy e, tra un articolo e l’altro, abbiamo posto l’accento su alcune azioni da compiere. Nella sezione Blog di questo sito è possibile accedere a parecchi contenuti relativi alla normativa in vigore, oltre che al testo originale del regolamento e al decreto di armonizzazione italiano.
L’obiettivo di questo articolo è quello di sintetizzare in una tabella i contenuti più significativi rispetto alle attività di adeguamento.
Troppe persone sono convinte che basti mettere a disposizione un modulo di consenso, un’informativa o qualche altro più o meno valido “pezzo di carta” per essere adeguate alla normativa, senza rendersi conto di essere, nella maggior parte dei casi, assolutamente non conformi alle nuove (e vecchie!) regole in materia di privacy. Qualcuno sta iniziando a farne le spese, infatti si potrebbe già stilare un nutrito elenco di provvedimenti emessi dall’ufficio del Garante, atti a comminare sanzioni molto rilevanti.
Di chi è la colpa?
Per la legge, la colpa è solo e sempre del titolare, nonché amministratore pro tempore dell’attività in oggetto. L’ignoranza o la sottovalutazione del problema è sicuramente una delle cause, ma, spesso, lo è anche il voler cercare esclusivamente il consulente “meno caro”.
Vediamo, allora, di fare un po’ di chiarezza sull’argomento con la tabella sottostante:
| Chi si deve adeguare | Tipo di attività – fatturato | Adempimenti di base per tutti | Adempimenti ulteriori |
| Enti pubblici | Qualsiasi (diversa normativa per le f.f. dell’ordine) | Analisi rischi privacy (identificazione criticità e soluzione)
Applicazione misure tecniche e organizzative (cybersecurity; disaster recovery; policy; procedure; etc.) Censimento degli asset che trattano dati (pc; armadi; etc.) Nomina dei responsabili esterni Nomina degli autorizzati Informative sul trattamento dei dati Moduli di consenso specifici Procedura per eventuale violazione dei dati Formazione per gli autorizzati al trattamento Aggiornamenti periodici dei processi e dei dati aziendali
|
Registro delle attività di trattamento (mappatura trattamenti di dati, contenente tutte le caratteristiche specifiche) nei casi di: almeno un dipendente assunto e/o attività che implica trattamenti di dati sensibili (salute; economici; etc.). Esempio: parrucchiere, tatuatore, ottico, etc. (anche senza dipendenti); commercialista; consulente finanziario; etc.
Analisi d’impatto (analisi rischi molto approfondita) nei casi di: impianto TVCC; trattamento dati sensibili; trattamenti automatizzati; etc. Informative specifiche nei casi di: impianto Tvcc; dipendenti; sito web; etc. Richieste di consenso specifiche nei casi di: attività promozionali; newsletter; invio dati in alcuni paesi stranieri; etc. Accordi di contitolarità nel caso in cui i dati siano raccolti da due entità che operano in accordo per unica finalità. Es.: compagnia aerea e tour operator; banca e assicurazione (in alcuni casi), etc. Nomina del RPD (responsabile protezione dei dati) nei casi di: trattamenti massivi di dati; trattamenti particolarmente sensibili e su larga scala; enti pubblici (scuole, comuni, partecipate, etc.). |
| Aziende (micro, piccole, medie, grandi) | Qualsiasi | ||
| Professionisti (medici, avocati, notai, consulenti, etc.) | Qualsiasi | ||
| Ditte individuali (agenti, negozianti, piccole officine, etc.) | Qualsiasi | ||
| Cooperative (anche onlus) | Qualsiasi | ||
| Associazioni (sportive, hobbistiche, partiti politici, etc.) | Qualsiasi | ||
| In generale, qualsiasi attività a scopo di lucro e non. Sono esentate le persone fisiche, a meno che non trattino dati a livello massivo (es. blogger; influencer che interagiscono coi dati; etc.) | |||
Ci teniamo a precisare che la tabella vuole fornire un’indicazione di massima, riguardo agli adempimenti e all’applicazione delle regole della normativa, e cita solo alcuni esempi. In realtà, potrebbero esserci situazioni che richiedono riflessioni più approfondite, accordi legali, studio di differenti procedure aziendali, analisi della contrattualistica e, in caso di violazione (furti fisici, hackeraggi, etc.) dei dati, talvolta, l’intervento dei servizi di informatica forense e di ripristino sicuro dei sistemi.
Insomma, il tema è complesso ed il consiglio è quello di rivolgersi a persone esperte della materia, a meno che non si voglia trascorrere un po’ di tempo a studiare i 99 articoli del GDPR, i 176 considerando, tutte le linee guida del Garante e del gruppo dei WP29 europei, il decreto 101/2018 e i successivi interventi del Garante di questi mesi.
Per Kruzer, l’ iter di un intervento di adeguamento privacy da effettuare, si compone da: una prima raccolta di dati aziendali; una fase di approfondimento sui processi aziendali e sulla gestione e protezione dei dati trattati; una terza fase di elaborazione della pratica, durante la quale si realizza l’analisi dei rischi, il registro dei trattamenti, le nomine e tutta la documentazione necessaria; infine la fase di consegna del prodotto finito, contestuale alla formazione obbligatoria degli autorizzati al trattamento. Talvolta, si rendono necessarie delle fasi successive che comprendono delle sessioni formative supplementari; redazione di accordi di riservatezza; policy aziendali e tutto ciò che è stato ritenuto indispensabile, in accordo col cliente.
In ogni caso, al di là dell’attività svolta, l’applicazione del Gdpr richiede un certo tipo di lavoro, quindi diffidate da chi, con una manciata di euro ed una scheda da compilare vi promette l’adeguamento. In caso di ispezione, un’eventuale sanzione per inadempienza verrebbe addebitata a voi, non al consulente.
Invitiamo tutti gli imprenditori interessati ad ottenere maggiori informazioni a contattarci tramite il modulo Contatti presente sul sito.
Buona privacy a tutti!
Daniele Umberto Spano – Ceo Kruzer
