GDPR – MAST

Il GDPR ha rimesso le persone al centro, restituendo il pieno controllo ai cittadini Europei sui propri dati personali, rafforzando e rendendo più omogenee le norme e le modalità di trattamento dei dati personali all’interno dell’Unione Europea. Il GDPR si applica in tutte le ipotesi in cui sia posto in essere un trattamento di dati personali. Non esistono, dunque, categorie di soggetti giuridici esentati dal rispetto del GDPR.

Ecco perché tutte le aziende sono chiamate ad adeguarsi e a rispettare le regole del GDPR indipendentemente dalla loro dimensione.

Quali obblighi (anche) per le piccole e medie imprese?
Il GDPR fissa una serie di adempimenti che anche le piccole e medie aziende devono rispettare. Anche una piccola azienda dovrebbe individuare la figura che si occupi della privacy e di tutti gli adeguamenti. Molte prescrizioni del GDPR dipendono dal tipo di attività svolta, ma soprattutto dalla tipologia dei dati con cui si entra in contatto; ecco che le piccole imprese, così come le grandi, devono fare innanzitutto una valutazione dei rischi per la tutela dei dati personali derivanti dalla propria attività.

Per adeguarsi anche le piccole e medie imprese dovrebbero: controllare pienamente l’accesso ai dati, identificare chiaramente i dati personali gestiti (con accesso immediato, profilazione, norme di sicurezza a favore della tutela dei dati).
Inoltre dovrebbero avere delle strategie di protezione dei dati, come ad esempio rendere anonimi i record e utilizzare la crittografia.
Infine prevedere il controllo delle procedure applicate, con reportistica interna, verifiche, gestione proattiva del rapporto con gli utenti.
Tutti questi aspetti confluiscono in un Registro delle Attività di Trattamento dei dati, in cui appunto sono spiegate tutte le procedure, le finalità, i software utilizzati, le persone coinvolte, le responsabilità, le misure di sicurezza previste nella gestione dei dati personali trattati.
All’interno delle piccole aziende dovrà sempre esserci il titolare: ossia il soggetto che decide le finalità e le modalità di trattamento dei dati, e sarà necessario sottoscrivere gli accordi di nomina del responsabile del trattamento.
Se l’azienda ha un sito web, occorre prevedere un’informativa privacy sull’uso dei dati di navigazione nel sito e sui cookies; se l’azienda ha un circuito di videosorveglianza deve redigere un’informativa privacy per i soggetti che potrebbero essere ripresi dalla videocamera.

Che costo può avere adeguarsi al GDPR?
Le piccole e medie realtà non devono pensare che adeguarsi determini per forza costosi adempimenti, con la giusta consulenza anche le imprese individuali e anche le attività artigianali possono aggiornare le politiche sulla privacy e mettersi in regola per poter affrontare un eventuale controllo consci di aver provveduto a tutti gli adempimenti.

Cosa fare per mettersi in regola col GDPR?

progettare la Privacy dei dati fin dalle prime fasi di disegno dei processi e delle architetture legate alla Sicurezza;
redigere un registro dei trattamenti delle informazioni e garantire la sicurezza dei dati trattati;
saper gestire eventuali data breach;
informare e raccogliere il consenso al trattamento dei dati di clienti, fornitori e collaboratori;
nominare i soggetti autorizzati a determinati trattamenti.