Sei in regola con il GDPR? Ecco la checklist per artigiani liberi professionisti e microimprese.

Lo scorso 19 maggio è ufficialmente terminato il periodo di tolleranza sul GDPR; il Garante potrà quindi esercitare pienamente il ruolo di controllo previsto dal regolamento. In questo senso la scadenza diventa un’occasione da cogliere per artigiani, liberi professionisti e microimprese  che ancora non si sono adeguati ai principi previsti dal GDPR.

Sei sicuro di aver fatto tutto quello che serve per essere in regola? Ecco la checklist con le attività fondamentali da svolgere per non farsi cogliere alla sprovvista.

Checklist GDPR

1 - Capire quali sono i dati trattati dall'azienda ed effettuare un’analisi del rischio per quanto riguarda la privacy

Questa fase è importantissima poichè sulla base delle informazioni raccolte si costruirà la privacy policy dell’azienda (comprensiva di procedure di prevenzione e di gestione del rischio qualora si dovessero verificare situazioni di data breach).

Le domande a cui il Titolare o il Legale Rappresentante devono rispondere  sono quindi:

  • Che genere di dati personali tratta la mia azienda?
  • Come raccolgo i dati personali?
  • In che modo utilizzo questi dati?
  • I dati raccolti vengono comunicati a terze parti (es: commercialista, ufficio buste paga)?
  • Esiste, tra i punti precedenti, un aspetto per il quale i dati personali che tratto possono essere considerati a rischio in ottica GDPR (es: accesso, perdita, modifica, divulgazione o distruzione dei dati da parte di persone non autorizzate)?

2 - Analisi delle misure di sicurezza per i dati digitali e cartacei.

Il Dato Personale Sensibile è il perno attorno al quale è stato pensato il GDPR, ne consegue che il suo “stato di salute” prima, durante e dopo i trattamenti sia al centro delle indicazioni che il regolamento fornisce in termini di sicurezza:

  • I dati possono essere consultati, modificati o cancellati solamente da persone autorizzate;
  • In caso di incidente tecnico ai sistemi di archiviazione dei dati, deve essere possibile ripristinare il più velocemente possibile l’accesso a questi, prevenendo danni alle persone interessate;
  • Bisogna garantire in modo permanente la Business Continuity ossia la capacità di mantenere funzionanti i propri processi di business malgrado il manifestarsi di situazioni sfavorevoli;
  • Testare e verificare con regolarità tutte le misure tecniche ed organizzative sviluppate per garantire gli standard di sicurezza rihiesti dal GDPR.

Alla luce di questi principi guida è bene indicare alcuni aspetti organizzativi ed operativi che costituiscono un fattore rilevante per una gestione sicura dei dati personali.

MISURE DI SICUREZZA FISICHE

  • Valutare la protezione dei locali predisposti all’archiviazione di dati sensibili con serrature aggiuntive, allarmi o videosorveglianza;
  • Monitorare l’accesso ai locali dell’azienda;
  • Smaltire in modo corretto rifiuti cartacei (tritadocumenti) e prodotti elettronici.
MISURE DI SICUREZZA INFORMATICHE
  • La rete interna all’azienda dovrebbe essere sottoposta a periodici penetration test così da verificarne la sicurezza;
  • Il sito web dell’azienda deve essere dotato di sistemi di sicurezza e di recupero dati adeguati (es: backup);
  •  Le apparecchiature informatiche, in particolare i dispositivi mobili personali che vengono utilizzati per motivi aziendali devono essere dotati di sistemi di sicurezza efficaci.

3 - Valutare la necessità di nominare un Data Protection Officer

Il Data Protection Officer è la figura più importante introdotta dal regolamento. Il suo compito è quello di valutare e verificare tutte le procedure che coinvolgono il trattamento dei dati personali all’interno di un’azienda.

Ora, definito brevemente il ruolo del DPO, il Titolare deve chiedersi: “la mia azienda ha davvero bisogno di un Data protection Officer?”

Risposta: dipende dal tipo di dati trattati. Il regolamento infatti obbliga alla nomina di un Data Protection Officer aziende che operano in settori specifici:

  • le pubbliche amministrazioni e gli enti pubblici (escluse le autorità giudiziarie);
  • aziende la cui attività richiede un monitoraggio regolare e su larga scala degli interessati (es: erogatori di servizi come luce e gas, fornitori di servizi di telecomunicazione…)
  • aziende che trattano su larga scala dati biometrici, dati giudiziari, dati relativi alla salute o all’orientamento sessuale degli interessati (es: istituti di credito, aziende sanitarie….)
Nella maggior parte dei casi è possibile che le attività di artigiani, liberi professionisti e microimprese non rientrino tra le categorie indicate sopra (per una panoramica complessiva consigliamo di consultare la pagina del Garante dedicata all’argomento). Tuttavia a nostro avviso è determinante effettuare una valutazione con l’aiuto di un professionista qualificato. In questo modo infatti il titolare avrà a disposizione un parere qualificato a supporto della decisione di nomiare o meno il DPO e potrà ricorrere a questa perizia in caso di contestazione o richiesta di spiegazioni da parte dell’Autorità Garante, qualora la sua azienda dovesse essere oggetto di controllo.

4 - Redigere un registro delle attività di trattamento dei dati

Uno dei documenti che sicuramente non deve mancare in azienda è il Registro per il Trattamento dei Dati Personali. Se da un lato è obbligatorio esibirlo in caso di controlli ed accertamenti da parte dell’Autorità Garante, dall’altro è lo strumento che permette al titolare di tenere sotto controllo tutti i passaggi in cui vengono trattati i dati all’interno dell’azienda.  

Detto che è fondamentale dotarsi del Registro, cerchiamo di capire quali sono le sue caratteristiche;  precisiamo subito che non esiste un formato standard e non sono state date regole specifiche riguardo impaginazione, lunghezza ecc. poichè la cosa veramente importante è il contenuto.

Quindi, quali informazioni devono essere inserite nel registro? Il documento deve contenere:

  •  Il nome e dati di contatto del Titolare e delle altre figure di responsabilità (se presenti): rappresentante del titolare del trattamento e DPO;
  • La finalità del trattamento;
  • Le categorie di persone di cui si sono raccolti i dati (es: fornitori, dipendenti) e le categorie di dati raccolti (es: dati anagrafici, dati di fatturazione); 
  • I destinatari ai quali questi dati vengono comunicati (es: commercialisti);
  • Bisogna indicare se i dati vengono trasferiti a paesi non appartenenti all’Unione Europea
  • Indicare per quanto tempo verranno conservati i dati;
  • Un riassunto delle misure di sicurezza adottate.

Un altro aspetto importante è quello della modalità di conservazione del Registro: digitale o cartaceo? In questo caso non c’è una risposta esatta e lo stesso Garante non predilige una soluzione rispetto all’altra. Sulla base della nostra esperienza però ci sentiamo di consigliare ai titolari di dotarsi di una versione cartacea e di conservare una versione digitale del Registro da stampare in caso di necessità.

L’ultimo punto da prendere in considerazione è che tutte le versioni del Registro conservate in azienda siano aggiornate; può infatti capitare che l’aggiunta di un servizio o un ripensamento dell’intera attività modifichino le tipologie di dati raccolti o le finalità per le quali si raccolgono. In tal senso ogni singolo cambiamento che porta una modifica delle attività di trattamento deve essere inserito nel registro.

5 - Informare le parti interessate

Informare nel modo più chiaro e comprensibile possibile gli interessati riguardo alle modalità con cui i loro dati vengono trattati, questo è il motivo principale per fornire un’informativa. Essendo uno degli adempimenti più importanti per risultare in regola con il GDPR cerchiamo di  capire quali sono le principali caratteristiche di un’informativa scritta a regola d’arte e quali informazioni deve fornire all’interessato.

Innanzitutto possiamo dire che per venire incontro all’obbligo di trasparenza previsto dal GDPR, l’informativa deve essere breve e scritta con linguaggio semplice per facilitarne la comprensione.

I contenuti invece richiamano in parte quelli contenuti all’interno del Registro e nel loro insieme vengono definiti contenuto minimo. L’informativa quindi:

  • Indica le categorie di dati raccolti, per quale fine sono raccolti e per quanto tempo vengono conservati in azienda;
  • Specifica  se i trattamenti sono basati sul consenso degli interessati o se sono giustificati da leggi;
  •  Indica se il titolare ha intenzione di utilizzare i dati raccolti per un fine diverso rispetto a quello per cui sono stati raccolti;
  • Indica se il titolare trasferisce i dati in paesi extra-UE;
  • Indica i dati di contatto del Titolare e del DPO;
  • Riporta i diritti dell’interessato:
    • Diritto di accesso ai dati personali;
    • Diritto di ottenere la rettifica o la cancellazione dei dati;
    • Diritto di opporsi al trattamento;
    • Diritto di revocare il consenso;
    • Diritto di presentare reclamo all’autorità di controllo.

Il Garante richiede che le informative siano inviate alle persone interessate prima del trattamento dei dati. Questo però non è sempre possibile, pensiamo per esempio ai dipendenti che sono stati assunti prima dell’entrata in vigore del GDPR. Come comportarsi in questo caso? L’indicazione che diamo ai nostri clienti è di inviare le informative in formato digitale via mail assieme all’invio della busta paga oppure, nel caso dei fornitori, con l’emissione della fattura.

6 - Tenere aggiornata la documentazione

Si è accennato a questo aspetto a proposito del Registro ma l’aggiornamento costante della documentazione deve essere uno dei principi guida in materia di privacy e gestione dei dati personali all’interno di una impresa che aspira ad essere a norma col GDPR.

Cerchi altre informazioni sul servizio 123Privacy o sul GDPR?

Contattaci!

123privacy@sigesint.it

0382-926195

Chiudi il menu
Chiama Ora