loader image

GDPR: ciò che devi sapere e nessuno dice.

gdpraosta.it

Risposte necessarie a rilassare le coronarie.

  1. il 25 di maggio non finirà il mondo. L’apocalisse amministrativa annunciata è ancora molto lontana, potremo continuare a lavorare serenamente (o più o meno). Qualche accorgimento in più, ma attenzione alla sete di profitti.
  2. Il meteo sarà più favorevole del previsto. La pioggia di onerose sanzioni, che non basterebbe il “6 al Superenalotto”, non si abbatterà sulla tua azienda, a meno che tu non decida di vendere il tuo patrimonio di informazioni al primo che passa senza l ‘autorizzazione degli interessati, oppure spacci informazioni sanitarie al dark web.

Un po di giusti accorgimenti potranno evitarti di incorrere in sanzioni, e la tua buona fede nel cercare di adeguarti verrà premiata.

  1. Il DPO non è un nemico del tuo lavoro. È una figura importante ma non dovrai investire soldoni per arruolarlo a meno che tu non sia una grossa azienda con più di 250 dipendenti, o che tu faccia trattamento sistematico su larga scala di dati particolari. Per le pubbliche amministrazioni è invece un obbligo.
  2. Il Registro dei Trattamenti è cosa buona e giusta. Non devi compilarlo se non hai in campo più di 250 dipendenti oppure se non tratti dati sensibili o ti occupi di marketing, ma averlo in azienda dimostra che di privacy te ne sei preoccupato, ed eviti le sanzioni. Basta qualche riga ben scritta per essere a norma.
  3. Password, antivirus, pc aggiornato e backup sono ormai indispensabili. Non esistono più le misure “minime” di sicurezza per essere adeguati con la privacy, ma ciò che conta è la sicurezza oggettiva dei tuoi dati informatici. Se la tua struttura informatica è a tutti gli effetti considerabile come “rete” allora un buon consulente informatico saprà come prendersi cura degli adempimenti normativi.
  4. Tratti dati sensibili (“particolari” secondo il GDPR)? Se sono necessari per svolgere il tuo lavoro, fallo con serenità. Ricordati però che hai qualche obbligo in più rispetto agli altri.
  5. Se l’informativa è già una buona abitudine nella tua azienda, allora hai già fatto gran parte del tuo dovere. Ricordati solo di aggiornarla con le nuove richieste del Regolamento Europeo
  6. Il codice della privacy tiene duro e non va in pensione. Il Regolamento Europeo (GDPR 2016/679) impone agli Stati membri di adeguare le proprie normative, ma l’Italia è un po’ lenta e non ha ancora dato la sua versione. Tutto va gestito come prima tranne che per ciò che il GDPR esplicita in maniera diversa.
  7. La formazione in materia è importante nonché obbligatoria. Puoi decidere tu come formare il tuo personale, l’importante è comprovare la formazione e soprattutto preparare il personale ad un trattamento di dati corretto e sicuro.
  8. Non serve una cassaforte per custodire i documenti. E’ necessario gestire il cartaceo in maniera responsabile, senza abbandonare informazioni personali alla vista di chiunque. I dati particolari hanno bisogno di maggior tutela, quindi cerchiamo di non lasciarli incustoditi sulle scrivanie.
  9. Eh si, anche la tua azienda è soggetta agli adempimenti della nuova normativa. Chiunque, ad esclusione delle persone fisiche (a patto che non effettuino trattamenti volti alla comunicazione sistematica o alla diffusione) dovrà rispettare le prescrizioni dell’attuale codice della Privacy e del nuovo GDPR.
  10. La DPIA o semplicemente Valutazione di impatto può essere paragonata alla vecchia “Notifica al Garante”. Se avevi quest’incombenza prima è sicuro che dovrai effettuare la DPIA ora.
  11. Se effettui Trattamento di dati dei minori di 16 anni, fai attenzione. Dovrai trovare la giusta procedura per raccogliere il consenso dei genitori.
  12. Nel caso di attacco informatico (virus, Trojan, crypto locker, ecc..) la perdita dei dati comporta l’onore di avvisare autorità ed interessati, ma solo nel caso in cui ci sia un forte rischio per i diritti e le libertà delle persone fisiche.
  13. Nessuno vieta di usare la videosorveglianza per proteggere il tuo patrimonio, anzi. Alcuni semplici accorgimenti sul puntamento, e la trasparente comunicazione ai dipendenti e all’Ispettorato o rappresentanze sindacali, ti garantiscono l’incolumità alle sanzioni.

Privacy e GDPR non ostacolano il tuo lavoro. Puoi fare tutto ciò che necessario al tuo business, l’importante è regolamentare con criterio tutti i processi che utilizzano dati personali.