3 modi per iniziare ad adeguarsi al nuovo GDPR

Se pensate che GDPR sia una nuova band metal o punk figlia degli AC/DC o dei NOFX vi devo avvertire che siete sulla strada sbagliata…

Il GDPR (General Data Protection Regulation) non è altro che il nuovo regolamento europeo sulla protezione dei dati personali (privacy) che sarà direttamente applicabile a partire dal 25/05/2018 in tutti gli stati dell’Unione Europea.
Lo scopo della normativa europea è quello di fornire a tutti gli stati dell’UE un sistema comune di protezione dei dati, anche se, nel GDPR non esiste alcuna norma che indichi in modo specifico che misure adottare per il trattamento dei dati personali.
Ogni azienda deve analizzare la propria situazione specifica e personalizzare le misure da adottare (es. un laboratorio medico dovrà utilizzare misure assai diverse da un decoratore).
Molte imprese e professionisti che conosco e che fino ad ora ben poco sapevano dell’entrata in vigore di questo nuovo regolamento, negli ultimi giorni si sono lasciati assalire da dubbi, paure e tutti hanno una sola domanda in testa…

“Ho ancora tempo per adeguarmi?”

La risposta è …NI!
Innanzitutto bisogna valutare:
  1. Se prima dell’entrata in vigore di questo regolamento eravate già conformi alla vecchia normativa (D.lgs 196/2003) -braviii!- allora basterà rivedere e riaggiornare il vostro sistema privacy implementandolo con le nuove indicazioni;
  2. Se prima d’ora non vi eravate molto preoccupati del fatto che fosse in vigore una specifica normativa sull’argomento, sinceramente la vedo dura riuscire ad adeguarvi in pochi giorni, ma è bene farlo! L’importante è che iniziate a lavorarci per riuscire quanto prima ad allinearvi alla normativa.
Copia di GDPR 2016
Le sanzioni vi hanno spaventato? non perdetevi d’animo!
Queste sono alcune dritte che vi posso dare su come iniziare a muovervi per adeguarvi al nuovo regolamento…
1. Per prima cosa, definite un “organigramma privacy” dove indicherete: il responsabile del trattamento (il titolare dell’attività), il referente aziendale privacy (l’individuazione di tale figura non è obbligatoria, soprattutto se la vostra azienda è molto piccola. Certo è che, avere una persona che conosca bene il vostro “sistema privacy”, è senza ombra di dubbio molto utile), e tutti i responsabili esterni che tratteranno per conto vostro dati personali (consulente del lavoro, commercialista, amministratore del sistema informatico, ecc.)
N.B. Al corso che ho seguito ci è stato comunicato che, per quanto riguarda la figura del responsabile del trattamento (il titolare) bisogna fare attenzione alle società con più amministratori. In questo caso sarebbe opportuno stilare un verbale del consiglio di amministratore dove si delega uno degli amministratori a unico responsabile privacy, in quanto in caso di sanzione la stessa verrebbe comminata a tutti gli amministratori (quindi ogni amministratore verrebbe singolarmente sanzionato!)
2. Adeguate le vecchie informative privacy (nel caso in cui non lo abbiate mai fatto dovete predisporre le informative) per i dipedenti, i clienti e i fornitori. Una volta predisposte fatele firmare agli interessati e conservatele accuratamente.
Tenete conto che, una delle novità di questo regolamento è il fatto che il consenso per il trattamento dei dati personali è solo per persone fisiche e NON giuridiche. Quindi, nel caso in cui i vostri clienti o i vostri fornitori siano persone giuridiche (detto più semplicemente: con la partita iva) non dovrete preoccuparvi di fargli firmare il consenso (a meno che non trattiate i dati del loro legale rappresentante o di dipendenti ecc.). L’interessato deve rilasciare il consenso al trattamento dei dati e può essere revocato in qualsiasi momento.
3. Redigete una bella analisi dei rischi (se non lo avete già fatto) dove indicate tutte le procedure da mettere in atto nel caso in cui uno dei rischi analizzati dovesse compiersi (es. banale: attacco Hacker ai server con conseguente divulgazione dei dati).  Vi ricordate il fantastico D.V.R., il Documento di Valutazione dei Rischi? ecco, quella roba lì . Magari dateci un’occhiata e aggiornatelo 😉
Predisponete inoltre una bella mappatura di tutte le banche dati che contengono dati personali (Es. L’elenco di tutti i clienti o dipendenti con indirizzi, numeri di telefono, dati fiscali, ecc.).
Se per caso la vostra azienda fa profilazione dei clienti… (es. aziende che si occupano di marketing) oppure trattate dati che sono per loro natura ultra sensibili (mi vengono in mente gli studi medici) vi consiglio di consultare subito un esperto! Io non me la sento di darvi suggerimenti di nessun tipo in quanto la materia si fa troppo complicata e delicata.
DATA BREACH (ossia violazione dei dati): Nel caso in cui ci sia una violazione dei dati (come es. di cui sopra: attacco hacker), il titolare del trattamento ha 72 ore dal momento della scoperta per informare il garante (se si ritiene che tale violazione comporti rischi per i diritti e le libertà degli interessati).
Ultima cosa importante: I dati non vanno conservati in eterno. In base ai dati trattati dovrete decidere dopo quanto tempo dalla chiusura del rapporto con l’interessato potrete eliminarli definitivamente. Es. i dati dei dipendenti che ormai sono in pensione da 30 anni non è il caso che continuiate a conservarli 😉
Definite solo in maniera chiara in una procedura dettagliata per quanto tempo conservate i vari dati (esempi: 10 anni dalla data di ultimazione del lavoro eseguito; 10 anni dalla data di cessazione del rapporto di lavoro; 2 anni per la conservazione dei curriculum vitae, ecc.) e alla scadenza ricordatevi di eliminarli.
Spero di esservi stata utile e di avervi dato una bella infarinata sull’argomento.

Il mio consiglio più prezioso rimane quello di affidarvi ad un esperto del settore che analizzerà la vostra situazione e vi consiglierà sul da farsi.

Tenetemi aggiornata sui vostri progressi!