GDPR: essere compliance mette in pericolo l’economicità di aziende?

gdpr2
Dal regolamento non si evince alcun divieto al trattamento dei dati ma, piuttosto, una maggiore trasparenza nella definizione delle informative e l’esplicito consenso degli interessati.

Dal 25 maggio 2018 è operativo in tutta l’Unione Europea, e senza possibilità di rinvio, il GDPR regolamento europeo sulla protezione dei dati personali.

Tutti parlano di GDPR e compliance perché, dai colossi come Google e Facebook ai piccoli studi professionali, tutti sono tenuti ad uniformarsi a quanto previsto dal nuovo regolamento sulla gestione dei dati personali.

 

A pochi giorni dalla reale applicazione del GDPR si è diffuso il panico tra le aziende, timorose di incorrere in un imminente fallimento causa adeguamento al nuovo regolamento.

Il GDPR rischia realmente di avere un impatto negativo sulla economicità delle aziende?

Noi crediamo proprio di no!

Essere conformi al nuovo regolamento sulla gestione dei dati personali non significa porre dei limiti allo svolgimento delle attività ordinarie delle singole organizzazioni. Non si evince infatti all’interno del regolamento alcun divieto al trattamento dei dati ma, piuttosto, una maggiore trasparenza nella definizione delle informative nonché l’esplicito consenso degli interessati.

Quindi a cosa dobbiamo fare attenzione? Su cosa dobbiamo concentrarci?

consenso

Sulle modalità in cui chiediamo il consenso al trattamento dei dati!

Individuate le finalità e le modalità dei trattamenti, il periodo di conservazione ed i diritti degli interessati, è fondamentale richiedere il consenso, ad esempio, per:

  • invio delle newsletter
  • contatti telefonici e/o a mezzo email
  • profilazione

L’accettazione deve avvenire per ogni tipologia di trattamento senza flag preselezionati. Il GDPR ci chiede di essere onesti e trasparenti con i nostri utenti.

Chiariti i dubbi su consensi e informativi, cosa dobbiamo fare per tutelarci da eventuali sanzioni?

Colossi e grandi organizzazioni sono ben strutturate per gestire i cambiamenti mentre le piccole e medie imprese, che rappresentano la maggioranza del comparto imprenditoriale italiano, sono alle prese con le attività di adeguamento.

Stakeholder interni ed esterni

C’è molta confusione sulle figure che il titolare deve nominare ma basta seguire il seguente messaggio: le nomine sono funzione della tipologia di azienda e della struttura organizzativa.

In caso di singoli professionisti e piccoli studi, basta individuare il titolare del trattamento e le eventuali persone autorizzare, ossia i collaboratori autorizzati a trattare i dati personali dei propri utenti.

Potrebbe essere poi necessario nominare, quali responsabili esterni del trattamento, eventuali partners come ad esempio il commercialista o anche il consulente informatico.

Diversamente, gli studi di grandi dimensioni o le piccole e medie imprese – oltre alle figure indicate in precedenza – devono valutare la possibilità di dotarsi di un responsabile della protezione dati (DPO – Data Protection Officer), soprattutto se l’attività svolta prevede relazioni su larga scala.

Quando è obbligatorio nominare il DPO?

La nomina di un Data Protection Officer è obbligatoria in tre casi specifici:

  • se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali
  • se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala
  • se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati (dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni filosofiche o religiose, o l’appartenenza sindacale, oltre al trattamento di dati genetici, dati biometrici al fine dell’identificazione univoca di una persona fisica, e di dati relativi alla salute, alla vita sessuale o all’orientamento sessuale di una persona fisica) o di dati personali relativi a condanne penali e reati.
Compilazione dei registri delle attività di trattamento

Per valutare la propria compliance al GDPR è fondamentale conoscere ed analizzare le attività di trattamento effettuate.

Il registro, infatti, non è altro che una raccolta di tutti i trattamenti effettuati dall’organizzazione con relative informazioni circa:

  • dati di contatto del titolare del trattamento e, ove applicabile, del DPO
  • finalità del trattamento
  • categorie di interessati e categorie di dati personali
  • trasferimenti di dati personali verso paese terzo
  • categorie di destinatari
  • termini ultimi previsti per la cancellazione
  • misure di sicurezza

Un’attenta analisi dei propri trattamenti consente di sviluppare informative e consensi con contenuto perfettamente aderente alle attività svolte.

Anche se non è sempre obbligatorio, si consiglia di redigere il registro dei trattamenti perché rappresenta una delle più importanti evidenze in caso di ispezioni da parte delle autorità di controllo.

In quest’ottica, Blumatica GDPR, il software che permette di adeguare qualunque tipo di Organizzazione ai nuovi requisiti privacy, offre la possibilità di individuare tutte le operazioni di adeguamento:

  • gestione nomine
  • compilazione registri delle attività
  • risk analysis ed eventuale valutazione di impatto (DPIA)
  • informative e consensi automatici per dipendenti, clienti e fornitori.

È possibile attivare aree di Workspace per collaborazione e condivisione informazioni: inviando al cliente la check list da compilare per rilevare tutti i dati necessari e le attività da eseguire per l’adeguamento al GDPR, viene creata in automatico l’azienda ed i relativi dati (anagrafica, sedi, nomine). Struttura organizzativa, risultati delle valutazioni e documentazione prodotta potranno essere condivisi con i propri clienti.

La possibilità di condivisione con l’opportunità di registrare qualunque tipo di segnalazione permetterà di mantenere un sistema sempre aggiornato.

Scopri maggiori dettagli

Francesca De Santis

Responsabile Ricerca e Sviluppo Area Sicurezza


Lascia un commento

La tua email non verrà pubblicata. I campi obbligatori sono contrassegnati *