GDPR: cos’è e come adeguare la tua azienda
Premessa
Dal 25 maggio 2018 sarà definitivamente applicabile il nuovo Regolamento Europeo sulla Tutela dei Dati Personali, meglio conosciuto come GDPR 679/2016. Andrà a sostituire le attuali normative nazionali in tema di Privacy e, nello specifico in Italia, il D.Lgs 196/2003.
Chi riguarda?
Tutte le imprese e i professionisti che trattano dati di clienti, fornitori, dipendenti, navigatori dei siti web e più in generale tutte le realtà di ogni dimensione, dalle individuali alle multinazionali, che per necessità di esecuzione della propria attività devono raccogliere, conservare, registrare, modificare, confrontare, estrarre, comunicare, elaborare ecc. dati di persone fisiche.
Cosa devono fare le imprese?
Dipende dal tipo di trattamenti che praticano, quanti più dati si trattano circa le persone fisiche (dette interessati), quanto più delicati sono i dati che si trattano (dati sensibili, ora chiamati “particolari”), quanto maggiore è il numero di interessati (attività su “larga scala”), tanto maggiore è la quantità e la qualità degli adempimenti necessaria; ma non è una regola fissa: un’officina meccanica che tratta i dati di un migliaio di clienti avrà meno adempimenti da affrontare di un poliambulatorio che gestisce il trattamento di un centinaio di pazienti. Una media azienda con un centinaio di dipendenti che produce stampi avrà meno adempimenti di un Call Center formato da una decina di addetti. In ogni caso bisognerà adeguarsi alla nuova normativa. Modificare le informative per clienti, fornitori e dipendenti, effettuare un’analisi dei rischi e nei casi più importanti si renderà necessario il Registro dei Trattamenti e in altri casi, ancora più specifici, la Valutazione d’Impatto sulla Protezione dei Dati.
Cosa si rischia?
Le sanzioni non sono più predefinite nei casi specifici (come prevedeva il D.Lgs 196/03) ma sono determinate caso per caso in base a molti fattori determinanti fra i quali: la natura, la gravità e la durata della violazione, il numero di interessati lesi dal danno e il livello del danno, il carattere doloso o colposo della violazione, le misure adottate, il grado di cooperazione con le autorità di controllo e molti altri elementi ancora. Le sanzioni pecuniarie possono arrivare fino a 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.
Come procedere?
Sebbene sia banale dirlo, la prima cosa da fare è non perdere tempo: il 25 maggio 2018 è molto più vicino di quanto non si pensi e gli specialisti del settore saranno oberati di richieste per cui si rischia, ad aspettare, di non fare in tempo a mettersi in regola. La seconda cosa da fare è un’analisi preliminare dell’azienda (assessment) che consenta di mappare i trattamenti effettuati, valutare i rischi, e determinare la documentazione necessaria e le modifiche di quella esistente. Successivamente si produce la documentazione, si adottano le misure necessarie, si forma il personale e si monitora l’andamento delle procedure definite. Ovviamente il carico di lavoro cambia a seconda delle imprese, da quelle per le quali è sufficiente la documentazione a quelle per le quali si devono allestire degli Audit. Ogni situazione va valutata a sé.
Come operiamo
Stilweb utilizza uno strumento che consente di raccogliere tutte le informazioni necessarie di un’impresa di dimensioni piccole, micro o medie, di un professionista, di un’organizzazione o di uno studio di servizi. Attraverso il suo utilizzo si è già in grado di realizzare la documentazione cartacea, le nomine, le informative per il sito internet e altro ancora.
Il sistema consiste in un modulo online che verrà compilato in base alle risposte che gli vengono fornite dal cliente.
Successivamente il cliente riceve una email con l’elenco dei dati raccolti dall’intervistatore, li verifica e risponde al messaggio ricevuto assumendosi così la responsabilità della veridicità del contenuto.
Si effettua quindi un controllo di coerenza e congruità dei dati immessi e si procede con la produzione della documentazione che verrà consegnata al cliente.
Tale documentazione andrà conservata ed esibita in caso di controlli alle autorità competenti.