GDPR

GDPR – Dal 25/05/2018 è in vigore il Regolamento UE n. 679/2016

GDPR Dal 25/05/2018 è in vigore il Regolamento UE n. 679/2016, conosciuto anche come GDPR. La nuova normativa responsabilizza le aziende che trattano dati personali prescrivendo l’adozione di misure organizzative e tecniche adeguate per la tutela dei diritti e delle libertà delle persone fisiche. In caso di controllo il Titolare del trattamento (che solitamente coincide […]

Dal 25/05/2018 è in vigore il Regolamento UE n. 679/2016, conosciuto anche come GDPR.

La nuova normativa responsabilizza le aziende che trattano dati personali prescrivendo l’adozione di misure organizzative e tecniche adeguate per la tutela dei diritti e delle libertà delle persone fisiche.

In caso di controllo il Titolare del trattamento (che solitamente coincide con il titolare dell’attività) dovrà dimostrare di avere adottato politiche interne e misure adeguate al fine di evitare pesanti sanzioni amministrative (fino a 20 milioni di €. o fino al 4% del fatturato) ed eventuali responsabilità penali. Il “pensiero comune” al riguardo è “non controlleranno mai le piccole-medie imprese!” oppure “prima di fare controlli da noi partiranno da Google, Facebook, dalle Banche”. Accade che per queste false convinzioni imprenditori e professionisti non si siano ancora uniformati o abbiano optato per adeguamenti low-budget puramente di facciata e assolutamente inidonei allo scopo. L’adeguamento GDPR è come un abito sartoriale: va cucito addosso a chi lo deve portare.

In verità tali convincimenti non hanno riscontro nella realtà tant’è che il Garante ha già sanzionato diverse imprese Italiane per mancato rispetto della normativa e spesso lo ha fatto in presenza di documenti “formalmente ineccepibili” che, però, non avevano alcuna applicazione nella realtà aziendale.

Ecco alcuni esempi:

Come evitare le sanzioni?

Ecco le cinque regole d’oro.

Formazione del personale: formare e responsabilizzare i propri collaboratori, fargli acquisire
il giusto know-how in materia di privacy e sicurezza informatica;
Informative (art. 13 gdpr): documento indispensabile con cui l’azienda comunica all’interessato le regole e i criteri utilizzati per il trattamento dei loro dati personali;
Registro Trattamento Dati (art. 30 gdpr): è il primo documento che viene richiesto in caso di ispezione. Dovrà essere completo, chiaro, esaustivo e veritiero. Deve riprodurre la situazione attualizzata dell’adeguamento alla normativa GDPR;
Nomina dei Responsabili Esterni (art. 28 gdpr): i consulenti esterni (commercialista, banca, consulente del lavoro, avvocato, webmaster ecc.) - poiché vengono in possesso di una serie di dati riguardanti i clienti, fornitori, dipendenti dell’azienda - devono essere nominati responsabili esterni del trattamento dei dati con apposito contratto. Tali responsabili esterni devono essere in grado di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali e di garantire la tutela dei diritti dell’interessato;
Sicurezza “fisica” e informatica: i dati trattati possono essere di natura cartacea oppure, come sempre più spesso accade, digitale. I primi vanno protetti tramite la loro custodia in appositi cassetti-armadi dotati di chiusura a chiave in modo da evitare che estranei possano facilmente accedervi. Quanto ai secondi è fondamentale curare la sicurezza del sistema informatico: aggiornare i sistemi operativi (ad es. windows 7 a febbraio 2020 non verrà più aggiornato automaticamente e diverrà, dunque, obsoleto), dotarsi di antivirus professionali, installare un sistema di back up efficace e altro ancora.