Il  25 maggio 2018 è entrato in vigore il nuovo Regolamento Europeo relativo alla protezione dei dati personali, meglio noto come GDPR. In estrema sintesi, si tratta di un insieme di regole su come le aziende devono trattare i dati personali degli interessati.  

Di conseguenza il GDPR definisce le responsabilità delle organizzazioni per garantire la privacy e la protezione dei dati personali, fornisce agli interessati determinati diritti e assegna poteri ai regolatori per chiedere dimostrazioni di responsabilità o persino imporre sanzioni nei casi in cui un’organizzazione non rispetti i requisiti del GDPR.  

Trattandosi di un Regolamento, il GDPR alla data di entrata in vigore ha iniziato a produrre effetti immediati in tutti gli Stati membri, senza la necessaria di emanazione da parte dei singoli Stati di una normativa di recepimento.  

Ciò significa che oggi, tutti i soggetti giuridici che, all’interno del territorio dell’Unione Europea, trattano dati personali devono rispettare il GDPR.  

 

In base a questo principio, i titolari del trattamento non devono limitarsi a eseguire in maniera automatica le regole del GDPR, ma devono, con una logica costruttiva e partecipativa, fare tutto quanto appare necessario per assicurare la massima protezione dei dati personali. 

 

Ma quindi cosa devono fare le PMI e professionisti per adeguarsi a questa normativa? 

Cominciamo con il capire chi deve adeguarsi a questa normativa. 

Il GDPR si applica in tutte le ipotesi in cui venga posto in essere un trattamento di dati personali. Non esistono, dunque, categorie di soggetti giuridici esentati dal rispetto del GDPR. 

Le aziende, in particolare, devono rispettare il GDPR nel trattare dati personali INDIPENDENTEMENTE dalla loro dimensione. Siano aziende piccole o grandi, tutte devono adeguarsi al GDPR.  

Ovviamente (e fortunatamente) le attività da porre in essere per adeguarsi al GDPR non sono uguali per tutte le aziende. 

In base alla normativa europea, per trattamento dei dati personali si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione. 

Per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile (che nel GDPR viene definito «interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. 

In estrema sintesi, i principi che devono essere rispettati sono: 

• principio di liceità, correttezza e trasparenza; 

• principio di limitazione della finalità: i dati vanno raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; 

• principio della minimizzazione dei dati: occorre ridurre al minimo il trattamento, allo stresso necessario. Per questo devono essere raccolti sono i dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati; 

• principio di esattezza: i dati raccolti devono essere esatti e, se necessario, aggiornati; le aziende devono quindi adottare  tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati; 

• principio della limitazione della conservazione: i dati vanno conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; 

• principio di integrità e riservatezza: i dati vanno trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentale. 

 

E’ consigliabile prevedere un organigramma privacy. L’azienda, nonostante sia piccola, dovrebbe individuare una figura nella stessa azienda che si occupa della privacy e dell’adeguamento al GDPR. 

Il DPO (responsabile della protezione dei dati personali) è un soggetto, che può essere un dipendente o un consulente esterno, che coadiuva l’azienda nella gestione dei dati personali e viene nominato di solito nelle aziende più grandi anche se può accadere che anche una piccola azienda, per la natura dei trattamenti dei dati posti in essere, sia chiamata a nominarlo. 

Quando il GDPR richiede la nomina del DPO? 

• quanto il titolare del trattamento è un soggetto pubblico; 

• quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; 

• le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali (quelli che prima venivano chiamati dati sensibili, come l’origine razziale, l’etnia, l’orientamento sessuale, la fede religiosa, l’affiliazione sindacale, etc.) o di dati relativi a condanne penali e a reati. 

Si tratta di un registro nel quale il titolare del trattamento tiene traccia di tutti i trattamenti dei dati personali che pone in essere. È  uno strumento molto utile anche per monitorare e tenere a mente le principali attività rilevanti ai fini della privacy. 

L’Informativa è il principale obbligo dell’azienda quando compie un trattamento di dati. 

Nel caso di piccole aziende, che svolgono pochi trattamenti dei dati personali, di solito le informative vanno consegnate: 

• ai dipendenti ed ai collaboratori; 

• ai consulenti; 

• se l’azienda ha un sito web occorre prevedere una Informativa privacy sull’uso dei dati di navigazione nel sito e sui cookies; 

• ai fornitori di beni e/o servizi; 

• se l’azienda ha un circuito di videosorveglianza deve redigere un’informativa privacy per i soggetti che potrebbero essere ripresi dalla videocamera. 

 

 

Ci sono situazioni in cui un soggetto terzo si trova a trattare i dati personali di cui la piccola azienda è titolare per conto dell’azienda stessa. 

A titolo di esempio, per capirci, immaginiamo la piccola azienda con pochi dipendenti e senza un ufficio paghe interno che si rivolge, per questo servizio ad uno consulente del lavoro. In questo caso i dati personali dei dipendenti del titolare vengono trattati da un altro soggetto, (il consulente del lavoro), per conto del datore di lavoro. 

In questo caso l’azienda dovrà sottoscrivere con il professionista (consulente del lavoro) un accordo con cui lo nomina responsabile del trattamento, dandogli tutte le istruzioni su come deve trattare i dati e ricevendo idonee garanzie di rispetto della normativa privacy. 

Spesso quando l’azienda, tratta i dati personali non lo fa in prima persona ma per il tramite dei suoi dipendenti addetti a specifici uffici. 

Sempre a titolo di esempio, pensiamo alla situazione in cui i dati dei dipendenti vengono trattati dagli addetti all’ufficio del personale, oppure la situazione in cui i dati degli utenti del sito web saranno trattati dagli addetti dell’ufficio IT o ancora il contesto in cui i dati dei fornitori saranno trattati dagli addetti dell’ufficio contratti, etc. 

I dipendenti che si trovano a trattare dati personali per conto del titolare devono essere nominati come persone autorizzate al trattamento.  

Si dovrà, dunque, consegnare loro una lettera in cui si conferisce loro questa nomina dando tutte le istruzioni su come deve svolgersi il trattamento dei dati, quali principi seguire e quali policy interne consultare.