Una scheda sintetica per adeguarsi alle normative sulla Privacy

Abbiamo già parlato spesso di chi e come deve adeguare la propria attività al regolamento europeo sulla privacy e, tra un articolo e l'altro, abbiamo posto l'accento su alcune azioni da compiere. Nella sezione News di questo sito è possibile accedere a parecchi contenuti relativi alla normativa in vigore, oltre che al testo originale del regolamento e al decreto di armonizzazione italiano.

L'obiettivo di questo articolo è quello di sintetizzare in una tabella i contenuti più significativi rispetto alle attività di adeguamento.

Troppe persone sono convinte che basti mettere a disposizione un modulo di consenso, un'informativa o qualche altro più o meno valido "pezzo di carta" per essere adeguate alla normativa, senza rendersi conto di essere, nella maggior parte dei casi, assolutamente non conformi alle nuove (e vecchie!) regole in materia di privacy. Qualcuno sta iniziando a farne le spese, infatti si potrebbe già stilare un nutrito elenco di provvedimenti emessi dall'ufficio del Garante, atti a comminare sanzioni molto rilevanti: dai 12.000 euro per un barista di Verona, ai 50.000 euro per l'Associazione Russeau, agli oltre 2.000.000  di euro per una società di intermediazione di gestione di contratti dell'energia elettrica. 

Di chi è la colpa?

Per la legge, la colpa è solo e sempre del titolare, nonchè amministratore pro tempore dell'attività in oggetto. L'ignoranza o la sottovalutazione del problema è sicuramente una delle cause, ma, spesso, lo è anche il voler cercare esclusivamente il consulente "meno caro". Vi invito a leggere l'articolo, su questo sito, nella sezione news, Adeguamento al Gdpr a 70 euro ?

Vediamo, allora, di fare un pò di chiarezza sull'argomento con la tabella sottostante:

Chi si deve adeguare Tipo di attività - fatturato Adempimenti di base per tutti Adempimenti ulteriori 

Enti pubblici 

Qualsiasi (diversa normativa per le f.f. dell'ordine)

Analisi rischi privacy (identificazione criticità e soluzione)

Applicazione misure tecniche e organizzative (cybersecurity; disaster recovery; policy; procedure; etc.)

Censimento degli asset che trattano dati (pc; armadi; etc.)

Nomina dei responsabili esterni

Nomina degli autorizzati

Informative sul trattamento dei dati

Moduli di consenso specifici

Procedeura per eventuale violazione dei dati

Formazione per gli autorizzati al trattamento

Aggiornamenti periodici dei processi e dei dati aziendali

 

 

 

Registro delle attività di trattamento (mappatura trattamenti di dati, contenente tutte le caratteristiche specifiche) nei casi di: almeno un dipendente assunto e/o attività che implica trattamenti di dati sensibili (salute; economici; etc.). Esempio: parrucchiere, tatuatore, ottico, etc.(anche senza dipendenti); commercialista; consulente finanziario; etc.

Analisi d'impatto (analisi rischi molto approfondita) nei casi di: impianto tvcc; trattamento dati sensibili; trattamenti automatizzati; etc.

Informative specifiche nei casi di: impianto tvcc; dipendenti; sito web; etc.

Richieste di consenso specifiche nei casi di: attività promozionali; newsletter; invìo dati in alcuni paesi stranieri; etc.

Acordi di contitolarità nel caso in cui i dati siano raccolti da due entità che operano in accordo per unica finalità. Es.: compagnia aerea e tour operator; banca e assicurazione (in alcuni casi), etc.

Nomina del RPD (responsabile protezione dei dati) nei casi di: trattamenti massivi di dati; trattamenti particolarmente sensibili e su larga scala; enti pubblici (scuole, comuni, partecipate, etc.).

Aziende (micro, piccole, medie, grandi) Qualsiasi
Professionisti (medici, avocati, notai, consulenti, etc.) Qualsiasi
Ditte individuali (agenti, negozianti, piccole officine, etc.) Qualsiasi
Cooperative (anche onlus) Qualsiasi

Associazioni (sportive, hobbystiche, partiti politici, etc.)

 

Qualsiasi
In generale, qualsiasi attività a scopo di lucro e non. Sono esentate le persone fisiche, a meno che non trattino dati a livello massivo (es. blogger; influencer che interagiscono coi dati; etc.)

Ci teniamo a precisare che la tabella vuole fornire un'indicazione di massima, riguardo agli adempimenti e all'applicazione delle regole della normativa, e cita solo alcuni esempi. In realtà, potrebbero esserci situazioni che richiedono riflessioni più approfondite, accordi legali, studio di differenti procedure aziendali, analisi della contrattualistica e, in caso di violazione (furti fisici, hackeraggi, etc.) dei dati, talvolta, l'intervento dei servizi di informatica forense e di ripristino sicuro dei sistemi.

Insomma, il tema è complesso ed il consiglio è quello di rivolgersi a persone esperte della materia, a meno che non si voglia trascorrere un pò di tempo a studiare i 99 articoli del GDPR, i 176 considerando, tutte le linee guida del Garante e del gruppo dei WP29 europei, il decreto 101/2018 e i successivi interventi del Garante di questi mesi.

Per Kruzer, l' iter di un intervento di adeguamento privacy da effettuare, si compone da: una prima raccolta di dati aziendali; una fase di approfondimento sui processi aziendali e sulla gestione e protezione dei dati trattati; una terza fase di elaborazione della pratica, durante la quale si realizza l'analisi dei rischi, il registro dei trattamenti, le nomine e tutta la documentazione necesaria; infine la fase di consegna del prodotto finito, contestuale alla formazione obbligatoria degli autorizzati al trattamento. Talvolta, si rendono necessarie delle fasi successive che comprendono delle sessioni formative supplementari; redazione di accordi di riservatezza; policy aziendali e tutto ciò che è stato ritenuto indispensabile, in accordo col cliente.

Le attività meno complesse, generalmente, ditte individuali o piccole realtà aziendali, possono usufruire del Configuratore Privacy, accessibile dalla Home del sito, che consente loro di ottenere un preventivo immediato ed eventualmente di compilare dei questionari guidati che, con il supporto del nostro ufficio operativo, portano il cliente alla realizzazione del servizio finito ad un prezzo competitivo, pagabile tramite Paypal o carta di credito.

In ogni caso, al di là dell'attività svolta, l'applicazione del Gdpr richiede un certo tipo di lavoro, quindi diffidate da chi, con una manciata di euro ed una scheda da compilare vi promette l'adeguamento. In caso di ispezione, un'eventuale sanzione per inadempienza verrebbe addebitata a voi, non al consulente.

Invitiamo tutti gli imprenditori interessati ad ottenere maggiori informazioni a contattarci tramite il modulo Contatti presente sul sito.

Buona privacy a tutti!

 

Daniele Spano

 

 

 

 

 

 


CONDIVIDI: