GDPR


Il cambiamento della società e il progresso tecnologico hanno determinato un forte cambiamento nella gestione dei dati personali, divenuti oggi una vera e propria merce di valore.

Il GDPR ha rimesso le persone al centro, restituendo il pieno controllo ai cittadini Europei sui propri dati personali, rafforzando e rendendo più omogenee le norme e le modalità di trattamento dei dati personali all’interno dell’Unione Europea.

Il GDPR si applica in tutte le ipotesi in cui sia posto in essere un trattamento di dati personali. Non esistono, dunque, categorie di soggetti giuridici esentati dal rispetto del GDPR.

La protezione dei dati personali interessa ampie fasce di categorie professionali, non c’è in sostanza nessun settore che non ne sia toccato.

Ecco perché tutte le aziende sono chiamate ad adeguarsi, devono rispettare il GDPR nel trattare i dati personali indipendentemente dalla loro dimensione.

Quali obblighi (anche) per le piccole e medie imprese?

Il GDPR fissa una serie di adempimenti che anche le piccole e medie aziende devono rispettare. Anche una piccola azienda dovrebbe individuare la figura che si occupi della privacy e di tutti gli adeguamenti.

Molte prescrizioni del GDPR dipendono dal tipo di attività svolta, ma soprattutto dalla tipologia dei dati con cui si entra in contatto; ecco che le piccole imprese, così come le grandi, devono fare innanzitutto una valutazione dei rischi per la tutela dei dati personali derivanti dalla propria attività.

Per adeguarsi anche le piccole imprese dovrebbero: controllare pienamente l’accesso ai dati, identificare chiaramente i dati personali gestiti (con accesso immediato, profilazione, norme di sicurezza a favore della tutela dei dati).

Inoltre dovrebbero avere delle strategie di protezione dei dati, come ad esempio rendere anonimi i record e utilizzare la crittografia.

Infine prevedere il controllo delle procedure applicate, con reportistica interna, verifiche, gestione proattiva del rapporto con gli utenti.

Tutti questi aspetti confluiscono in un Registro delle Attività di Trattamento dei dati, in cui appunto sono spiegate tutte le procedure, le finalità, i software utilizzati, le persone coinvolte, le responsabilità, le misure di sicurezza previste nella gestione dei dati personali trattati.

Si tratta di uno strumento molto utile anche per monitorare e tenere a mente le principali attività rilevanti ai fini della privacy.

In una struttura piccola e che non fa particolari trattamenti, a meno che il trattamento dei dati non sia occasionale (ma non bisogna avere nemmeno dipendenti perché sia occasionale), bisogna quindi tenere anche il registro dei trattamenti.

Nel caso di piccole aziende, che svolgono pochi trattamenti dei dati personali, di solito le informative vanno consegnate comunque ai fornitori di beni e/o servizi; ai dipendenti e ai collaboratori; ai consulenti.

All’interno delle piccole aziende dovrà sempre esserci il titolare: ossia il soggetto che decide le finalità e le modalità di trattamento dei dati, e sarà necessario sottoscrivere gli accordi di nomina del responsabile del trattamento.

Può accadere che un soggetto terzo debba trattare dei dati personali di cui la piccola azienda è titolare per conto dell’azienda stessa.

Il tipico esempio è la piccola azienda che si rivolge al consulente del lavoro (commercialistaesterno per redigere le buste paga dei suoi dipendenti, allo stesso modo dovrà nominare i dipendenti che trattano i dati personali per conto del titolare persone autorizzate al trattamento.

Se l’azienda ha un sito web, occorre prevedere un’informativa privacysull’uso dei dati di navigazione nel sito e sui cookies; se l’azienda ha un circuito di videosorveglianza deve redigere un’informativa privacy per i soggetti che potrebbero essere ripresi dalla videocamera.

Che costo può avere adeguarsi al GDPR?

Le piccole realtà non devono pensare che adeguarsi determini per forza costosi adempimenti, con la giusta consulenza anche le imprese individuali e anche le attività artigianali possono aggiornare le politiche sulla privacy e mettersi in regola per poter affrontare un eventuale controllo consci di aver provveduto a tutti gli adempimenti.

Cosa fare per mettersi in regola col GDPR?

  • progettare la Privacy dei dati fin dalle prime fasi di disegno dei processi e delle architetture legate alla Sicurezza;
  • redigere un registro dei trattamenti delle informazioni e garantire la sicurezza dei dati trattati;
  • saper gestire eventuali data breach;
  • informare e raccogliere il consenso al trattamento dei dati di clienti, fornitori e collaboratori;
  • nominare i soggetti autorizzati a determinati trattamenti.

MAST è in grado di fornire un’attenta analisi e individuazione dei rischi sullo stato complessivo del trattamento aziendale, delle informazioni sia a livello organizzativo che tecnologico, in modo da prendere atto delle reali criticità.

MAST mette a disposizione i propri strumenti e la propria esperienza per aiutare anche le piccole e medie imprese a: scoprire dove risiedono i dati sensibili; verificare l’attuale modalità di gestione dei dati; predisporre delle soluzioni moderne e sostenibili, nella fase di progettazione dei trattamenti (by design e by default, così come il GDPR prescrive), adottare misure di sicurezza tecnologiche adeguate ad assicurare la riservatezza, l’integrità, la disponibilità dei sistemi e dei servizi, gestire e minimizzare una violazione dei dati personali.

MAST offre pacchetti completi di consulenza anche per le piccole e medie imprese, le attività individuali e per tutti coloro che voglio regolarizzare situazioni esistenti.

ACCOUNTABILITY

GDPR … il Giorno Dopo

INFORMATIVE e CONSENSI

Consigli per titolari del trattamento

NEWSLETTER

Cold Email e Soft Spam