Il cambiamento della società e il progresso tecnologico hanno determinato un forte cambiamento nella gestione dei dati personali, divenuti oggi una vera e propria merce di valore.

Il GDPR ha rimesso le persone al centro, restituendo il pieno controllo ai cittadini Europei sui propri dati personali, rafforzando e rendendo più omogenee le norme e le modalità di trattamento dei dati personali all’interno dell’Unione Europea.

Il GDPR si applica in tutte le ipotesi in cui sia posto in essere un trattamento di dati personali. Non esistono, dunque, categorie di soggetti giuridici esentati dal rispetto del GDPR.

La protezione dei dati personali interessa ampie fasce di categorie professionali, non c’è in sostanza nessun settore che non ne sia toccato.

Ecco perché tutte le aziende sono chiamate ad adeguarsi, devono rispettare il GDPR nel trattare i dati personali indipendentemente dalla loro dimensione.

 

GDPR, la privacy in azienda

L’entrata in vigore del GDPR ha reso ancora più fondamentale per le aziende salvaguardare la protezione dei dati dei loro clienti – e più in generale di tutti gli stakeholders aziendali – in ogni momento, informandoli puntualmente su come i loro dati sono utilizzati e condivisi.

La filosofia cardine del nuovo GDPR è l’accountability (o responsabilizzazione) per tutte le fasi del trattamento; ciò comporta l’adozione di strumenti e soluzioni atte a garantire non solo la protezione dei dati, ma anche il controllo, la verifica e l’analisi delle procedure.

 

Altri due principi introdotti dal GDPR sono:

  • privacy by design: qualunque attività e processo aziendale vanno concepiti e realizzati pensando a come garantire la riservatezza e la protezione dei dati personali, individuando a monte eventuali rischi privacy;
  • privacy by default: le aziende devono trattare i dati personali solo nella misura necessaria per le finalità previste e per il tempo strettamente necessario a questi fini.

 

Non esistono standard fissi e unici per qualsiasi impresa, attività o processo aziendale; la tutela dei dati personali va pensata ad hoc, considerando le specificità aziendali.

Il nuovo approccio alla privacy in azienda (online quanto fisico) guarda alla prevenzione, al rispetto, alla tutela della privacy come impostazione di base per ogni processo aziendale, con una totale trasparenza dei dati e protezione per tutto il loro ciclo vitale e per tutta la filiera.

Devono essere sempre esplicitate le modalità di raccolta dei dati, le finalità per ciascun dato, quali soggetti sono autorizzati ad accedervi e quali misure sono poste in essere per proteggerli.

 

Gdpr: Cosa devono fare le aziende

gdpr pmi piccola media impresa

Imprese e professionisti devono adeguarsi alle nuove regole introdotte dal GDPR, in caso contrario possono incorrere ad ingenti sanzioni.

 

Vuoi sapere quali sono le novità del GDPR e quali sono i passi da seguire per mettersi in regola?

 

Le imprese devono capire come i nuovi obblighi legati al GDPR possano impattare sulle attività legate al proprio business, devono mettere al sicuro i dati sensibili, verificare la correttezza di tutte le informative sulla privacy e i vari processi di accesso ai dati.

Ogni azienda deve investire in tecnologia e attuazione di comportamenti idonei per avere la certezza di aver messo in sicurezza i dati, le applicazioni, i sistemi, le reti e gli utenti.

Il primo passo per un’azienda è quello di capire i dati personali in suo possesso, ossia diventare consapevole del tipo d’informazione che detiene, raccoglie e processa, di dove conserva questi dati, chi ne ha accesso e come vengono protetti.

In seguito si deve passare all’analisi dei rischi, individuando quali minacce corrono i dati che sono trattati dall’azienda, come si possono proteggere, quali pericoli corre l’interessato in caso di non adeguata protezione.

Per aziende che trattano una grande quantità di dati o per realtà che trattano dati particolari, si deve adottare il Privacy impact assessment o Valutazione Rischio d’impatto che ha lo scopo di stabilire in anticipo quali rischi ci possono essere nel trattamento dei dati nel particolare business specifico e quali misure sono messe in campo per ridurre al minimo i rischi.

Solo a conclusione di quest’analisi si possono determinare le responsabilità in qualità di titolare o responsabile dei dati, inoltre si avrà un quadro sulla natura dei dati e sulla categoria degli interessati.

Un professionista sa indicare, in base al grado di rischio, quali sono le misure di sicurezza necessarie per farvi fronte ed essere in compliance con il GDPR in caso di controlli.

 

 

L’azienda, per poter trattare i dati anche per finalità che esulano dagli obblighi legislativi e contrattuali tra le parti, deve ottenere il consenso libero specifico e informato.

Il GDPR ha dettagliato quali tipologie d’informazioni minime devono essere fornite al soggetto per poter ottenere il suo consenso al trattamento, quali: identità del titolare, scopo delle operazioni di trattamento per le quali è richiesto il consenso, tipo di dati raccolti e trattati, esistenza del diritto di revoca del consenso, uso dei dati per le decisioni basate su elaborazione automatica (inclusa profilazione).

Le novità introdotte dal GDPR quindi comportano l’aggiornamento e l’adattamento alla nuova disciplina per quanto riguarda la modulistica che deve essere utilizzata per il trattamento dei dati in tutti i rapporti con gli interessati.

Le aziende saranno chiamate a nominare il DPO nel caso si tratti di grandi aziende o se in altri casi in cui il GDPR lo richieda (link testo dpo già sul sito innova).

Il GDPR, infatti, ha introdotto la figura del Data Protection Officer (DPO) soggetto incaricato di assicurare una gestione corretta dei dati personali nelle imprese. Il DPO è una sorta di garante interno alla struttura del titolare o del responsabile del trattamento.

La valutazione della sua competenza e capacità è affidata al titolare che dovrà valutarne il percorso formativo, tenendo conto della specificità dei trattamenti effettuati.

L’obbligo di legge non è quindi assolto dalla semplice nomina del DPO, ma occorre che quest’ultimo disponga dei requisiti curriculari in grado di comprovarne competenze e capacità.

Il DPO potrà essere interno (per esempio un dipendente) o esterno (un professionista o una società di consulenza).

Il DPO è nominato di solito nelle aziende più grandi, anche se può accadere che anche una piccola azienda, per la natura e la mole dei trattamenti dei dati posti in essere, sia chiamata a nominarlo.

Inoltre, ogni azienda deve spiegare e documentare come agirebbe in caso di violazione dei dati.

In caso di problemi di vulnerabilità dei dati dovrà essere in grado di dimostrare di aver fatto tutto il possibile, ricordando che nel caso succedesse, dovrà informare l’autorità di vigilanza entro 72 ore.

 

Affidati alla Consulenza di Innova, per sapere quali sono i dati sensibili che tratta la tua attività e quali adempimenti comportano

 

GDPR, Quali obblighi per le piccole imprese?

gdpr libero professionistaIl GDPR fissa una serie di adempimenti che anche le piccole aziende devono rispettare. Anche una piccola azienda dovrebbe individuare la figura che si occupi della privacy e di tutti gli adeguamenti.

Molte prescrizioni del GDPR dipendono dal tipo di attività svolta, ma soprattutto dalla tipologia dei dati con cui si entra in contatto; ecco che le piccole imprese, così come le grandi, devono fare innanzitutto una valutazione dei rischi per la tutela dei dati personali derivanti dalla propria attività.

Per adeguarsi anche le piccole imprese dovrebbero: controllare pienamente l’accesso ai dati, identificare chiaramente i dati personali gestiti (con accesso immediato, profilazione, norme di sicurezza a favore della tutela dei dati).

Inoltre dovrebbero avere delle strategie di protezione dei dati, come ad esempio rendere anonimi i record e utilizzare la crittografia.

Infine prevedere il controllo delle procedure applicate, con reportistica interna, verifiche, gestione proattiva del rapporto con gli utenti.

Tutti questi aspetti confluiscono in un Registro delle Attività di Trattamento dei dati, in cui appunto sono spiegate tutte le procedure, le finalità, i software utilizzati, le persone coinvolte, le responsabilità, le misure di sicurezza previste nella gestione dei dati personali trattati.

Si tratta di uno strumento molto utile anche per monitorare e tenere a mente le principali attività rilevanti ai fini della privacy.

In una struttura piccola e che non fa particolari trattamenti, a meno che il trattamento dei dati non sia occasionale (ma non bisogna avere nemmeno dipendenti perché sia occasionale), bisogna quindi tenere anche il registro dei trattamenti.

Nel caso di piccole aziende, che svolgono pochi trattamenti dei dati personali, di solito le informative vanno consegnate comunque ai fornitori di beni e/o servizi; ai dipendenti e ai collaboratori; ai consulenti.

All’interno delle piccole aziende dovrà sempre esserci il titolare: ossia il soggetto che decide le finalità e le modalità di trattamento dei dati, e sarà necessario sottoscrivere gli accordi di nomina del responsabile del trattamento.

Può accadere che un soggetto terzo debba trattare dei dati personali di cui la piccola azienda è titolare per conto dell’azienda stessa.

Il tipico esempio è la piccola azienda che si rivolge al consulente del lavoro (commercialista) esterno per redigere le buste paga dei suoi dipendenti, allo stesso modo dovrà nominare i dipendenti che trattano i dati personali per conto del titolare persone autorizzate al trattamento.

gdpr cookie profilazioneSe l’azienda ha un sito web, occorre prevedere un’informativa privacy sull’uso dei dati di navigazione nel sito e sui cookies; se l’azienda ha un circuito di videosorveglianza deve redigere un’informativa privacy per i soggetti che potrebbero essere ripresi dalla videocamera.

Adempimento GDPR a portata delle imprese individuali e delle piccole realtà

Che costo può avere per un libero professionista o impresa individuale, adeguarsi al GDPR?

Anche un piccolo studio professionale può essere chiamato ad adeguarsi ai dettami del regolamento qualora trattasse dati personali, in maniera sistematica in relazione alla propria attività.

Le piccole realtà non devono pensare che adeguarsi determini per forza costosi adempimenti, con la giusta consulenza anche le imprese individuali e anche le attività artigianali possono aggiornare le politiche sulla privacy e mettersi in regola per poter affrontare un eventuale controllo consci di aver provveduto a tutti gli adempimenti.

 

Vuoi sapere quali sono le novità del GDPR?

Iscriviti al corso o forma i tuoi collaboratori.

 

GDPR Cosa devi fare in pratica se sei il titolare di una PMI?

Cosa non devi fare per adeguare al GDPR la tua attività.

Per assicurare la conformità, come abbiamo visto, alcuni passi sono imprescindibili; sicuramente quello che un’impresa non dovrebbe fare è cercare soluzioni improvvisate senza il supporto di una consulenza preparata che sarà poi in grado di creare un piano d’azione personalizzato, riuscendo ad ottimizzare l’investimento necessario.

 

 

In pratica cosa devono fare le piccole e medie imprese?

  • progettare la Privacy dei dati fin dalle prime fasi di disegno dei processi e delle architetture legate alla Sicurezza;
  • redigere un registro dei trattamenti delle informazioni e garantire la sicurezza dei dati trattati;
  • saper gestire eventuali data breach;
  • informare e raccogliere il consenso al trattamento dei dati di clienti, fornitori e collaboratori;
  • nominare i soggetti autorizzati a determinati trattamenti.

 

Per evitare rischi è bene rivolgersi a figure in grado di fornire una consulenza in tema privacy e adeguamento GDPR.

Un professionista è in grado di guidarvi nel trovare la soluzione più conveniente per riorganizzare il vostro sistema.

adeguamento privacy GDPR cosa fareSiamo in grado di fornire un’attenta analisi e individuazione dei rischi sullo stato complessivo del trattamento aziendale, delle informazioni sia a livello organizzativo che tecnologico, in modo da prendere atto delle reali criticità.

Innova mette a disposizione i propri strumenti e la propria esperienza per aiutare anche le piccole imprese a: scoprire dove risiedono i dati sensibili; verificare l’attuale modalità di gestione dei dati; predisporre delle soluzioni moderne e sostenibili, nella fase di progettazione dei trattamenti (by design e by default, così come il GDPR prescrive), adottare misure di sicurezza tecnologiche adeguate ad assicurare la riservatezza, l’integrità, la disponibilità dei sistemi e dei servizi, gestire e minimizzare una violazione dei dati personali.

Innova offre pacchetti completi di consulenza anche per le piccole imprese, le attività individuali e per tutti coloro che voglio regolarizzare situazioni esistenti.

 

Affidati a Innova e scopri i pacchetti personalizzati, contattaci senza impegno

Richiedi Informazioni sul GDPR

    Informativa al trattamento dei dati personali privacy policy