Il 25 maggio 2018 è entrato in vigore il nuovo Regolamento generale sulla protezione dei dati. Ma, per molte aziende, adeguarsi al GDPR, non è stato facile
Cosa c’è da sapere per rimediare ai ritardi prendendo in considerazioni eventuali proroghe?
Il GDPR, acronimo di General Data Protection Regulation – normato dal Regolamento dell’Unione Europea n.679 del 2016 – a cavallo del 25 maggio 2018, data ufficiale di entrata in vigore, ha creato più problemi alle piccole e medie imprese italiane che alle ditte individuali e liberi professionisti.
A dirlo è, sostanzialmente, una task force della Confartigianato che nell’ambito di un’audizione in Commissioni speciali riunite di Camera e Senato, dedicate all’applicazione del nuovo regolamento, ha chiesto tra le altre cose una sospensione di 6 mesi delle sanzioni a carico di quegli imprenditori che non sono in regola con l’applicazione del GDPR.
Le piccole e medie imprese italiane, quindi, avrebbero ancora tempo per mettersi in regola ed affrontare così un investimento importante. Nel sistema produttivo nazionale le PMI adeguatesi al GDPR hanno rappresentato le realtà economiche maggiormente penalizzate con un aggravio dei costi pari a 3,1 miliardi di euro.
Sempre secondo Confartigianato, “nell’ambito di 4,2 milioni di artigiani e piccole imprese risultano a più alta esposizione il 35,4 per cento di piccole imprese con dipendenti a cui si somma il 6,4 per cento di piccole imprese senza dipendenti nei settori dell’ICT, Salute e Benessere mentre vi è una minore esposizione per il restante 58,2 per cento delle piccole imprese, senza dipendenti.”
Ecco, quindi, come adeguarsi al GDPR
La conformità al GDPR per le piccole e medie imprese è un percorso da non sottovalutare, perché mettersi in regola comporta sostanzialmente il coinvolgimento dell’intera struttura organizzativa. Che potrebbe rappresentare un muro invalicabile per le piccole realtà e uno scoglio quasi insormontabile per le aziende più grandi.
I passi da compiere seguono sostanzialmente 4 direttive:
- Chi si occuperà di seguire l’adeguamento aziendale al GDPR dovrà considerare tra gli interventi, innanzi tutto, la revisione dell’informativa delle privacy online ed offline.
- Chi si occuperà di stilare nel dettaglio le sezioni personalizzate del regolamento dovrà verificare con quali modalità l’azienda richiede il consenso agli utenti.
- Chi si occuperà di seguire l’adeguamento aziendale al GDPR dovrà controllare tutte le modalità di acquisizione dei dati in possesso dell’azienda.
- Chi si occuperà di controllare gli adeguamenti necessari dovrà assicurare un’adeguata sicurezza dei dati raccolti, tenendoli lontani da possibili sottrazioni o danneggiamenti.
Considerati i 4 ambiti all’interno dei quali muoversi, per capire cosa fare nella pratica un aiuto importante è arrivato dal Garante per la sicurezza informatica dei dati personali: dai fondamenti di liceità del trattamento all’elencazione di tutti i contenuti dell’informativa; dai diritti degli interessati alle valutazioni d’impatto.
Liceità del trattamento
Nel regolamento GDPR c’è la conferma che ogni singolo trattamento deve trovare fondamento in una base giuridica. In particolare per i dati considerati sensibili, il consenso deve essere un consenso esplicito, ed è valido a partire dai 16 anni. Prima di questa età il consenso deve essere autorizzato dai genitori o da chi fa le veci del minorenne.
Informativa
I contenuti dell’informativa sulla privacy, che nel nuovo GDPR rappresentano la parte fondamentale, sono più ampi rispetto al Codice della privacy e prevedono sempre di specificare i dati di contatto del responsabile della protezione dei dati personali, definito Data Protection Officer, o più semplicemente DPO. Congiuntamente, per il DPO, ove esistente, è necessario specificare la base giuridica del trattamento, l’interesse legittimo ed eventuali azioni a suo carico di trasferimento dei dati personali a Stati terzi.
Nell’ambito della definizione dei contenuti dell’Informativa, particolare rilievo è rappresentato dai tempi dell’informativa (“nel caso di dati personali non raccolti direttamente presso l´interessato l´informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione dei dati a terzi o all´interessato) e dalle modalità dell’informativa, che deve avere forma concisa, trasparente, intellegibile e accessibile con facilità.
Diritti degli interessati
Qualora l’interessato avanzi richiesta di accesso ai propri dati personali il titolare è tenuto a dare risposta entro un mese dalla richiesta, anche in caso di diniego. I tempi di risposta del titolare all’interessato potrebbero essere prorogati fino a tre mesi solo nei casi di particolare complessità, la cui valutazione spetta esclusivamente al titolare.
La risposta di accettazione o diniego deve essere trasparente e facilmente accessibile.
Titolare del trattamento dei dati
Il nuovo regolamento GDPR impone ai titolari dei dati personali di definire con particolare attenzione tutti gli ambiti di responsabilità, con particolare riguardo all’esercizio dei diritti degli interessati.
Inoltre, il nuovo Regolamento generale sulla protezione dei dati regolamento impone al titolare di designare con regolare contratto o altro atto giuridico un eventuale responsabile del trattamento, dimostrando sufficienti garanzie per il responsabile designato. Quest’ultima figura, inoltre, dal momento immediatamente successivo alla nomina, ha degli obblighi specifici per quanto concerne la tenuta del registro dei trattamenti svolti, l´adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti, la designazione di un DPO.
Misure di accountability
Il GDPR punta molto sulla responsabilizzazione di titolari dei dati e responsabili del trattamento dei dati personali. In particolar modo quello che va tenuto in considerazione è l’adozione di comportamenti tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l´applicazione del regolamento. Le misure di accountability, rispetto al Codice precedente, rappresentano una novità significativa in materia di protezione dei dati in quanto sancisce autonomia piena ai titolari dei dati di decidere modalità, garanzie e limiti del trattamento.
Registro dei trattamenti e misure di sicurezza
I titolari e i responsabili di trattamento – ad eccezione delle piccole e medie imprese con meno di 250 dipendenti, devono tenere un registro delle operazioni di trattamento. La tenuta del registro, come specifica il Garante per la protezione dei dati personali non costituisce un adempimento formale, ma è parte integrante di un sistema di corretta gestione dei dati personali.
Dati personali che dovranno essere conservati garantendo “un livello di sicurezza adeguato al rischio” del trattamento.
Adeguarsi al GDPR per le piccole e medie imprese, anche se necessario, non è sempre facile. Per queste ragioni resta ancora aperta l’ipotesi di determinare l’applicazione del nuovo regolamento con strumenti e modalità semplificate per le PMI. Una strada attivabile esclusivamente con decreto.