Diritto e Fisco | Articoli

Piccole aziende: cosa devono fare per adeguarsi al GDPR

4 novembre 2018


Piccole aziende: cosa devono fare per adeguarsi al GDPR

> Diritto e Fisco Pubblicato il 4 novembre 2018



L’entrata in vigore del GDPR rappresenta una sfida per qualsiasi soggetto giuridico che tratta dati personali di altre persone. Anche le piccole imprese devono adeguarsi alla nuova normativa prevista per la tutela dei dati personali.

Lo scorso 25 maggio 2018 è entrato in vigore il nuovo Regolamento Europeo relativo alla protezione dei dati personali, meglio noto come GDPR. Il Regolamento è una fonte del diritto europeo che produce effetti immediati in tutti gli Stati membri, senza che sia necessaria l’emanazione da parte dei singoli Stati di una normativa di recepimento. Ciò significa che tutti i soggetti giuridici che, all’interno del territorio dell’Unione Europea, trattano dati personali devono rispettare il GDPR. In Italia, tutte le aziende, gli enti, le associazioni e qualsiasi soggetto che ponga in essere un trattamento di dati deve rispettare il GDPR nonchè la normativa nazionale che è stata emanata per adeguare il vecchio Codice Privacy al nuovo quadro normativo europeo. Non vi sono esenzioni e, dunque, anche le piccole aziende cosa devono fare per adeguarsi al GDPR? Cerchiamo di capirlo in questo articolo.

Che cos’è il GDPR?

Il GDPR [1] è un regolamento europeo che è entrato definitivamente in vigore lo scorso 25 maggio 2018 e che introduce una nuova normativa che disciplina il trattamento dei dati personali e la materia della privacy.

In Italia, le aziende, sin dal 2003, avevano dovuto fare i conti con la disciplina introdotta in materia di privacy dal Codice Privacy [2]. Questo testo normativo non è stato abrogato ma è stato fortemente modificato da una specifica normativa di armonizzazione [3] con l’obiettivo di eliminare le disposizioni normative contrastanti con il GDPR e armonizzarlo con la nuova disciplina europea.

Oggi è dunque il GDPR la stella polare, il punto di riferimento da seguire per gestire la privacy in azienda.

Chi deve adeguarsi al GDPR?

Il GDPR si applica in tutte le ipotesi in cui venga posto in essere un trattamento di dati personali. Non esistono, dunque, categorie di soggetti giuridici esentati dal rispetto del GDPR.

Le aziende, in particolare, devono rispettare il GDPR nel trattare dati personali indipendentemente dalla loro dimensione. Siano aziende piccole o grandi, tutte devono adeguarsi al GDPR. Di certo, come vedremo, le attività da porre in essere per adeguarsi al GDPR non sono uguali per tutte le aziende.

Che cos’è il trattamento dei dati personali?

Come abbiamo detto, devono adeguarsi al GDPR tutte le aziende che trattano dati personali (che il GDPR definisce «titolare del trattamento») .

In base alla normativa europea, per trattamento dei dati personali si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile (che il GDPR definisce «interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Le definizioni sopra riportare fanno capire che praticamente tutte le aziende sono titolari del trattamento e pongono in essere dei trattamenti dei dati personali. Basti pensare che ogni azienda che abbia almeno un dipendente sta trattando i dati del dipendente.

Cosa devono fare le piccole aziende per adeguarsi al GDPR?

Prima di addentrarci nelle attività che le piccole aziende devono porre in essere per stare in regola con il GDPR, occorre premettere che la filosofia del nuovo regolamento europeo si fonda sul principio della “accountability”, che in italiano possiamo tradurre in “responsabilizzazione”.

In base a questo principio, i titolari del trattamento non devono limitarsi a eseguire in maniera automatica le regole del GDPR, ma devono, con una logica costruttiva e partecipativa, fare tutto quanto appare necessario per assicurare la massima protezione dei dati personali.

Premesso ciò, il GDPR fissa una serie di adempimenti che anche le piccole aziende devono rispettare. Occorre trattare i dati personali nel rispetto dei principi espressi dal GDPR [4].

In particolare, i principi che devono essere rispettati sono:

  • principio di liceità, correttezza e trasparenza;
  • principio di limitazione della finalità: i dati vanno raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;
  • principio della minimizzazione dei dati: occorre ridurre al minimo il trattamento, allo stresso necessario. Per questo devono essere raccolti sono i dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
  • principio di esattezza: i dati raccolti devono essere esatti e, se necessario, aggiornati; le aziende devono quindi adottare  tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
  • principio della limitazione della conservazione: i dati vanno conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
  • principio di integrità e riservatezza: i dati vanno trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentale.

E’ consigliabile prevedere un organigramma privacy. L’azienda, nonostante sia piccola, dovrebbe individuare una figura nella stessa azienda che si occupa della privacy e dell’adeguamento al GDPR.

Nominare il responsabile della protezione dei dati personali, detto anche DPO, nei casi in cui il GDPR lo richiede [5]. Il DPO è un soggetto, che può essere un dipendente o un consulente esterno, che coadiuva l’azienda nella gestione dei dati personali. Il DPO viene nominato di solito nelle aziende più grandi anche se può accadere che anche una piccola azienda, per la natura dei trattamenti dei dati posti in essere, sia chiamata a nominarlo.

Il GDPR richiede la nomina del DPO:

  • quanto il titolare del trattamento è un soggetto pubblico;
  • quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali (quelli che prima venivano chiamati dati sensibili, come l’origine razziale, l’etnia, l’orientamento sessuale, la fede religiosa, l’affiliazione sindacale, etc.) o di dati relativi a condanne penali e a reati.

Tenere il registro delle attività di trattamento, detto anche registro dei trattamenti [6]. In tale registro il titolare del trattamento tiene traccia di tutti i trattamenti dei dati personali che pone in essere. Si tratta di uno strumento molto utile anche per monitorare e tenere a mente le principali attività rilevanti ai fini della privacy.

Consegnare a tutti gli interessati l’informativa privacy con i contenuti prescritti dal GDPR [7]. L’Informativa è la principale obbligazione dell’azienda quando compie un trattamento di dati.

Nel caso di piccole aziende, che svolgono pochi trattamenti dei dati personali, di solito le informative vanno consegnate:

  • ai dipendenti ed ai collaboratori;
  • ai consulenti;
  • se l’azienda ha un sito web occorre prevedere una Informativa privacy sull’uso dei dati di navigazione nel sito e sui cookies;
  • ai fornitori di beni e/o servizi;
  • se l’azienda ha un circuito di videosorveglianza deve redigere un’informativa privacy per i soggetti che potrebbero essere ripresi dalla videocamera.

Sottoscrivere gli accordi di nomina del responsabile del trattamento [8]. Può accadere che un soggetto terzo debba trattare dei dati personali di cui la piccola azienda è titolare per conto dell’azienda stessa.

Facciamo un esempio. La piccola azienda ha pochi dipendenti e non ha un ufficio paghe interno ma si rivolge, per questo servizio ad uno studio commerciale. In questo caso i dati personali dei dipendenti del titolare vengono trattati da un altro soggetto, e cioè dallo studio commerciale, per conto del datore di lavoro.

L’azienda dovrà sottoscrivere con lo studio commerciale un accordo con cui lo nomina responsabile del trattamento, dandogli tutte le istruzioni su come deve trattare i dati e ricevendo idonee garanzie di rispetto della normativa privacy.

Nominare i dipendenti che trattano dati personali per conto del titolare  le persone autorizzate al trattamento. Quando il titolare del trattamento, e cioè l’azienda, tratta i dati personali non lo fa in prima persona ma per il tramite dei suoi dipendenti addetti a specifici uffici.

Per fare degli esempi, i dati dei dipendenti saranno trattati dagli addetti all’ufficio del personale. I dati degli utenti del sito web saranno trattati dagli addetti dell’ufficio IT. I dati dei fornitori saranno trattati dagli addetti dell’ufficio contratti, etc.

I dipendenti che trattano dati personali per conto del titolare devono essere nominati come persone autorizzate al trattamento [9]. Si dovrà, dunque, consegnare loro una lettera in cui si conferisce loro questa nomina dando tutte le istruzioni su come deve svolgersi il trattamento dei dati, quali principi seguire e quali policy interne consultare.

note

[1] Regolamento (UE) 2016/679.

[2] D. Lgs. n. 196/2003.

[3] D. Lgs. n. 101/2018.

[4] Art. 5 GDPR.

[5] Art. 37 e seguenti GDPR.

[6] Art. 30 GDPR.

[7] Art. 13 GDPR.

[8] Art. 28 GDPR.

[9] Art. 29 GDPR.


Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:

Informativa sulla privacy
DOWNLOAD

ARTICOLI CORRELATI

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 



NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI