
GDPR
- Entrata in vigore25 maggio 2018
- Chi riguardaChi tratta dati personali
- Tutti?Sì, Aziende e professionisti
- Io non li trattoSicuro?
- Cosa si rischiaMulte calcolate sul fatturato
- Altro?Sì, il blocco del trattamento
Quali sono gli aspetti più importanti e come adeguarsi alla nuova normativa
Dai dati ai trattamenti
Il GDPR spinge a focalizzare l’attenzione non solo al dato, ma anche al particolare trattamento effettuato. Quando un dato viene raccolto, archiviato, modificato o, addirittura, cancellato si sta effettuando un trattamento ed è necessario descrivere la tipologia di dati, se sono presenti dati di natura particolare, chi sono le categorie interessate, le motivazioni (le basi giuridiche) perché si sta trattando quel dato al fine di avere una fotografia completa di come i dati vengono gestiti nel proprio flusso di lavoro.
Le informative
Non più la singola informativa sul sito web, ma informative diverse per ogni categoria di interessati in base ai diversi trattamenti. Le aziende (o i professionisti) trattano dati personali quando hanno dipendenti, quando hanno clienti (o potenziali clienti), quando fanno colloqui di lavoro, quando acquistano merci o servizi. Nessuno può dire di non trattare dati personali ed è bene imparare anche a pretendere l’informativa sull’uso dei nostri dati, quando non rappresentiamo l’azienda in cui lavoriamo, ma siamo a nostra volta i soggetti interessati in qualità di clienti o consumatori (cioè la maggior parte delle volte).
Il registro dei trattamenti
Ma le informative non sono tutto, occorre poi riepilogare l’uso che se ne fa, gli archivi coinvolti, le misure di sicurezza adottate. Inoltre tante realtà aziendali trattano dati non solo per se stessi, ma anche conto terzi, ed ecco la necessità di avere anche il registro trattamenti conto terzi. I due registri sono la prima cosa che chiede l’autorità in caso di controllo. E per essere soggetti all’obbligo di tenuta del registro, basta avere anche un solo dipendente, quindi un’organizzazione aziendale estremamente semplice. Capito perché non basta copiare l’informativa sul sito web del sito del concorrente?
Il Data Breach
E cosa succede se i dati li perdiamo o ci vengono sottratti? Di quei dati abbiamo la totale responsabilità e in caso di eventi piò o meno criminali che mettono a rischio la sicurezza delle persone fisiche che ci hanno affidati i loro dati, siamo obbligati a comunicare nelle maniere previste tali eventi. Con un notevole danno di reputazione, che potrebbe anche precludere la prosecuzione dell’attività. Un motivo in più per dotarsi di strumenti efficaci che possano metterci al riparo da tali eventi.
Tutti trattano dati personali, vediamo in dettaglio.


Videocamere
All’entrata della sede aziendale sono state installate delle videocamere di sicurezza? Ormai lo diamo per scontato, ma ogni sistema di videosorveglianza deve avere la propria informativa e devono essere ben descritte le modalità di conservazione, accesso ed utilizzo dei dati.

Dipendenti
Ogni azienda tratta i dati (anche di natura particolare) dei propri dipendenti

Smartphone e Tablet
Smartphone e Tablet, sia di proprietà del dipendente che forniti dall’azienda, possono contenere dati personali e sono utilizzati in mobilità. Vanno gestiti nella maniera corretta.

Archivi cartacei
Ancora la “carta” fa parte di tante procedure di lavoro aziendali. Occorre essere sicuri di gestirla nella maniera corretta.

Cancellazione e distruzione dei dati
Salviamo dati personali nei posti più impensabili e non facciamo attenzione a cosa accade quando ce ne liberiamo. Anche la distruzione è un trattamento e va gestita nella maniera corretta.
Il nostro metodo di consulenza, per mettersi in regola senza errori.
Incontro preliminare
Iniziamo esaminando la realtà aziendale del cliente e cercando di definire con chiarezza i tempi e i costi per ottenere il risultato finale. Anche se operiamo a distanza, cerchiamo sempre di parlare con i nostri clienti, trasmettere il giusto messaggio (non ci interessa “spaventare” con le multe previste per chi non è in regola), comunicare che l’adeguamento alla normativa è un’occasione importante per la crescita aziendale.
Analisi di tutti i trattamenti
Analizziamo in dettagli i processi lavorativi e definiamo tutte i trattamenti esistenti nell’azienda. Per ottenere un risultato preciso e conforme alla realtà abbiamo bisogno di interagire con personale interno che abbia visibilità e conoscenza su tutte le procedure di lavoro aziendali. Usiamo la nostra esperienza per evidenziare trattamenti che probabilmente sono in uso, ma che inizialmente non sono stati elencati, perché di raro utilizzo o poco comuni.
Censimento degli addetti, delle sedi e degli archivi
Punto importante dell’attività consiste nello stilare l’elenco completo di tutte le persone coinvolte, siano essi dipendenti, collaboratori o società esterne a cui vengono affidati i dati. E poi le sedi e gli archivi (cartacei o digitali) dove vengono effettuati i trattamenti. Questa visione di insieme, che entra nel dettaglio fino al singolo operatore o al singolo strumento utilizzato, consente di coprire la totalità dei dati trattati, senza lasciare nulla al caso.
Misure di sicurezza
Il GDPR pone molta attenzione su quelle che dovono essere le misure di sicurezza per garantire il corretto trattamento dei dati personali. Anche quando vengono richiesti dei docuemnti specifici, come la Valutazione di Impatto (DPIA) o le procedure necessarie a gestire i Data Breach, questi devono essere degli strumenti proattivi, che consentano di analizzare e dimostrare l’effettiva correttezza delle procedure adottate. Con la nostra profonda esperienza nella sicurezza informatica, possiamo analizzare in dettaglio la situazione attuale e proporre gli eventuali miglioramenti necessari.
Formazione
Finito tutto il lavoro, sarebbe tutto inutile se non ci si preoccupasse di formare adeguatamente tutte le persone coinvolte. Organizziamo corsi specifici per figure centrali come il DPO o il Referente Privacy, come anche corsi più pratici e operativi per tutti gli incericati. Il Titolare del Trattamento, oltre tutti gli altri adempimenti, deve dimostrare di aver adeguatamente formato tutte le figure che dipendono dalle sue decisioni. Senza dimenticare tutti i Responsabili Esterni, che devono ricevere le corrette istruzioni per i trattamenti. E la formazione non va fatta solo una volta, ma deve essere continua nel tempo, per consentire l’aggiormanento in una disciplina, come la protezione dei dati personali, che assume sempre maggiore importanza e si evolve costantemente.