Dal 25 maggio 2018 è operativo in tutta l’Unione Europea, e senza possibilità di rinvio, il GDPR regolamento europeo sulla protezione dei dati personali.
Tutti parlano di GDPR e compliance perché, dai colossi come Google e Facebook ai piccoli studi professionali, tutti sono tenuti ad uniformarsi a quanto previsto dal nuovo regolamento sulla gestione dei dati personali.
A pochi giorni dalla reale applicazione del GDPR si è diffuso il panico tra le aziende, timorose di incorrere in un imminente fallimento causa adeguamento al nuovo regolamento.
Il GDPR rischia realmente di avere un impatto negativo sulla economicità delle aziende?
Noi crediamo proprio di no!
Essere conformi al nuovo regolamento sulla gestione dei dati personali non significa porre dei limiti allo svolgimento delle attività ordinarie delle singole organizzazioni. Non si evince infatti all’interno del regolamento alcun divieto al trattamento dei dati ma, piuttosto, una maggiore trasparenza nella definizione delle informative nonché l’esplicito consenso degli interessati.
Quindi a cosa dobbiamo fare attenzione? Su cosa dobbiamo concentrarci?
Sulle modalità in cui chiediamo il consenso al trattamento dei dati!
Individuate le finalità e le modalità dei trattamenti, il periodo di conservazione ed i diritti degli interessati, è fondamentale richiedere il consenso, ad esempio, per:
- invio delle newsletter
- contatti telefonici e/o a mezzo email
- profilazioneSi definisce profilazione qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.
L’accettazione deve avvenire per ogni tipologia di trattamento senza flag preselezionati. Il GDPR ci chiede di essere onesti e trasparenti con i nostri utenti.
Chiariti i dubbi su consensi e informativi, cosa dobbiamo fare per tutelarci da eventuali sanzioni?
Colossi e grandi organizzazioni sono ben strutturate per gestire i cambiamenti mentre le piccole e medie imprese, che rappresentano la maggioranza del comparto imprenditoriale italiano, sono alle prese con le attività di adeguamento.
Stakeholder interni ed esterni
C’è molta confusione sulle figure che il titolare deve nominare ma basta seguire il seguente messaggio: le nomine sono funzione della tipologia di azienda e della struttura organizzativa.
In caso di singoli professionisti e piccoli studi, basta individuare il titolare del trattamento e le eventuali persone autorizzare, ossia i collaboratori autorizzati a trattare i dati personali dei propri utenti.
Potrebbe essere poi necessario nominare, quali responsabili esterni del trattamento, eventuali partners come ad esempio il commercialista o anche il consulente informatico.
Diversamente, gli studi di grandi dimensioni o le piccole e medie imprese – oltre alle figure indicate in precedenza – devono valutare la possibilità di dotarsi di un responsabile della protezione dati (DPOData Protection Officer Figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679, è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati. Viene designato obbligatoriamente quando: • un trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell'esercizio delle loro funzioni); • i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; • quando il trattamento riguarda, su larga scala, dati... – Data Protection Officer), soprattutto se l’attività svolta prevede relazioni su larga scala.
Quando è obbligatorio nominare il DPOData Protection Officer Figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679, è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati. Viene designato obbligatoriamente quando: • un trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell'esercizio delle loro funzioni); • i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; • quando il trattamento riguarda, su larga scala, dati...?
La nomina di un Data Protection Officer è obbligatoria in tre casi specifici:
- se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali
- se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala
- se le attività principali del titolare o del responsabile consistono nel trattamento su larga scalaQuando un’attività è su larga scala? Il concetto di “larga scala” è del tutto generico per cui, anche se il Regolamento fornisce alcune indicazioni, restano molteplici zone grigie di cui probabilmente avremo chiarimenti quando le attività saranno a regime. In linea di massima si intende per trattamenti su larga scala la gestione di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un... di categorie particolari di dati (dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni filosofiche o religiose, o l’appartenenza sindacale, oltre al trattamento di dati genetici, dati biometrici al fine dell’identificazione univoca di una persona fisica, e di dati relativi alla salute, alla vita sessuale o all’orientamento sessuale di una persona fisica) o di dati personali relativi a condanne penali e reati.
Compilazione dei registri delle attività di trattamento
Per valutare la propria compliance al GDPR è fondamentale conoscere ed analizzare le attività di trattamento effettuate.
Il registro, infatti, non è altro che una raccolta di tutti i trattamenti effettuati dall’organizzazione con relative informazioni circa:
- dati di contatto del titolare del trattamento e, ove applicabile, del DPOData Protection Officer Figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679, è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati. Viene designato obbligatoriamente quando: • un trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell'esercizio delle loro funzioni); • i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; • quando il trattamento riguarda, su larga scala, dati...
- finalità del trattamento
- categorie di interessati e categorie di dati personali
- trasferimenti di dati personali verso paese terzo
- categorie di destinatari
- termini ultimi previsti per la cancellazione
- misure di sicurezza
Un’attenta analisi dei propri trattamenti consente di sviluppare informative e consensi con contenuto perfettamente aderente alle attività svolte.
Anche se non è sempre obbligatorio, si consiglia di redigere il registro dei trattamenti perché rappresenta una delle più importanti evidenze in caso di ispezioni da parte delle autorità di controllo.
In quest’ottica, Blumatica GDPR, il software che permette di adeguare qualunque tipo di Organizzazione ai nuovi requisiti privacy, offre la possibilità di individuare tutte le operazioni di adeguamento:
- gestione nomine
- compilazione registri delle attività
- risk analysis ed eventuale valutazione di impatto (DPIAData Protection Impact Assessment La DPIA è un processo che deve essere condotto dal titolare e/o dal responsabile, consultando il DPO, per eseguire una valutazione delle attività di trattamento a rischio elevato a valle della quale, eventualmente, si rende necessario richiedere un parere del Garante per la Protezione dei Dati Personali.)
- informative e consensi automatici per dipendenti, clienti e fornitori.
È possibile attivare aree di Workspace per collaborazione e condivisione informazioni: inviando al cliente la check list da compilare per rilevare tutti i dati necessari e le attività da eseguire per l’adeguamento al GDPR, viene creata in automatico l’azienda ed i relativi dati (anagrafica, sedi, nomine). Struttura organizzativa, risultati delle valutazioni e documentazione prodotta potranno essere condivisi con i propri clienti.
La possibilità di condivisione con l’opportunità di registrare qualunque tipo di segnalazione permetterà di mantenere un sistema sempre aggiornato.