Cosa sapere sul GDPR privacy per essere in regola
GDPR 679/2016 regolamento privacy : le basi
A maggio 2018 è entrato in vigore il regolamento europeo sul trattamento dei dati.
Tutte le attività, piccole, medie e grandi imprese, ma anche professionisti, a partire da quella data sono tenute a rispettare le nuove regole, sulla conservazione, gestione e trattamento dei dati dei propri clienti, fornitori, collaboratori, dipendenti, etc …
Quali sono le regole di base da rispettare ?
Il nuovo regolamento sostituisce di fatto la normativa sulla privacy del dlgs 196/2003, che non deve più essere presa come riferimento in merito al trattamento dei dati personali.
Il nuovo codice, noto con la sigla GDPR 679/2016, ha il compito di rendere sia l’azienda sia il soggetto di cui la stessa tratta i dati, più consapevole di tutto il processo.
I concetti di base
Il GDPR individua alcuni punti attorno ai quali si sviluppa l’intero iter del trattamento:
1: finalità del trattamento
2: responsabili e/o incaricati del trattamento
3: analisi dei rischi
4: registro del trattamento
5: modulistica informativa
1: La finalità del trattamento
Con finalità di trattamento viene individuato il motivo per cui l’attività tratta i dati.
Esempio, in un rapporto di vendita, noi abbiamo a disposizione i dati del cliente, per fargli il preventivo, la fattura,etc.. e trattiamo questi dati per l’“attività commerciale”.
Con questa logica, possiamo dedurre che ogni nostro tipo di servizio specifico,per cui raccogliamo dati, può essere assimilato al concetto di ‘finalità’.
A questo link è possibile scaricare un esempio di finalità di trattamento dati.
2: Responsabili o incaricati del trattamento
In qualsiasi attività, sia essa piccola o grande, ci sono delle persone che, a vario titolo gestiscono i dati personali.
Per stabilire la conoscenza del processo di trattamento all’interno dell’attività, e rendere tale processo noto anche ai soggetti di cui gestiamo i dati, devono essere nominati i ‘responsabili’ e gli ‘incaricati’ del trattamento.
Queste figure possono essere ‘interne’ o ‘esterne’ all’attività, e garantiscono, sotto la loro responsabilità, di rispettare quanto stabilito dalla normativa.
3: Analisi dei rischi
Nel monitorare il processo di trattamento del dato, è necessario che l’azienda analizzi i rischi a cui il processo è esposto.
L’analisi dei rischi è uno strumento procedurale che serve, sia ad evidenziare eventuali criticità nella gestione del dato, sia a dimostrare quanto l’azienda sia in grado di garantire la massima protezione ed il più alto livello di privacy del dato stesso.
4: Registro trattamento dati
Questo documento per le aziende con meno di 250 dipendenti non è obbligatorio, ma va fatta una precisazione, come del resto è anche indicato nel GDPR stesso, ovvero che è auspicabile che il registro venga prodotto da tutte le attività, perchè la sua realizzazione è garanzia del pieno rispetto della normativa, da parte dell’attività stessa.
In fondo il registro altro non è che la stesura ‘nero su bianco’, del processo di trattamento dei dati che l’attività compie, con specifica delle finalità, della tipologia dei dati trattati , dei modi e dei tempi in cui questi sono gestiti.
5: Modulistica informativa
Quello che è stato subito adeguato da parte delle attività, all’entrata in vigore del nuovo regolamento, è stata la modulistica da consegnare al cliente.
Ora, se questo ha salvato ‘l’apparenza’, se non è stato supportato da quanto elencato sopra, non produce poi la ‘sostanza’ dell’adempimento della normativa.
Aver cambiato la dicitura sui siti web, aver aggiunto in alcuni casi i consensi espliciti online, e aver sostituito la vecchia dicitura della privacy, potrebbe non essere stato sufficiente.
Il nuovo regolamento stabilisce che sul modulo di informativa della privacy, devono essere indicate le finalità per cui vengono trattati i dati, per quanto tempo, in che modo, quali sono le categorie dei destinatari a cui i dati vengono trasferiti, se i dati vengono inviati anche fuori dal territorio italiano ed infine deve essere indicato il responsabile del trattamento.
E’ da sottolineare una cosa : per clienti diversi potremmo avere finalità diverse di trattamento.
Questo significa che se per un cliente faccio la finalità “X” e per un altro la finalità “Y” non posso avere lo stesso modulo informativo, perchè diverse finalità possono significare un diverso modo di trattare e gestire il dato.
La normativa stabilisce che al cliente, con l’informativa, devo dire specificamente come utilizzo i suoi dati, quindi se le finalità sono diverse per clienti diversi, non posso consegnare a tutti lo stesso modulo.
Come rispettare il nuovo regolamento e non commettere errori ?
Diverse aziende si sono affidate a consulenti esterni per realizzare i moduli ed impostare i processi di gestione. Questa sicuramente può essere una strada, ma deve essere tenuto presente, che il processo di trattamento va monitorato costantemente ed adeguato al cambiare delle situazioni.
Un’altra soluzione è quella proposta da COMPANY015, che integra all’interno del gestionale, il ramo dedicato al nuovo regolamento GDPR. In questo modo l’attività o il libero professionista, può gestire il processo del trattamento ed adattarlo alle proprie esigenze, senza acquistare un software per la gestione del gdpr.
La scelta di integrare la gestione privacy nel modulo di base di COMPANY015, è dettata dalla volontà di fornire all’azienda o al libero professionista, una soluzione completa, che risponda ai requisiti normativi richiesti dai quali non è possibile essere ‘esonerati’.
Per agevolare la costruzione e definizione del processo, COMPANY015 prevede un iter guidato di impostazione iniziale.
Le finalità di trattamento più usate sono, ad esempio, già caricate nel software, pronte per essere personalizzate ed utilizzate. La stessa analisi dei rischi segue un processo a step guidati, con risposte multiple, in modo da agevolarne la stesura.
Infine, anche la compilazione e le eventuali successive variazioni del registro di trattamento, sono semplificate e guidate.
In tutti i casi, al momento dell’acquisto del software, è possibile essere supportati da un esperto che imposterà la prima stesura del processo di trattamento, in base alle finalità utilizzate dall’attività stessa.
Essere a norma e GDPR compliant al 100%
Rispettare la nuova normativa non significa quindi solo essere in grado di produrre i moduli, ma occorre dimostrare di conoscere e monitorare il processo di trattamento dei dati all’interno della propria struttura, grande o piccola che sia.