Adeguamento al GDPR - Localbiz

Gestisci un’attività locale?

Se hai un negozio su strada, un punto vendita in franchising, un ristorante, una pizzeria, un forno, un’agenzia immobiliare…
anche tu devi adeguarti al GDPR.
Fondamentalmente, questi sono gli aspetti su cui lavorare:

Adeguamento documentale

Predisposizione dell’informativa sulla privacy, della lettera di nomina

Formazione dei dipendenti

Formazione e sensibilizzazione rispetto alla novità.

Adeguamento gestionale

Verifica dei sistemi rispetto alle misure minime e analisi della sicurezza fisica.

Mettiti in regola Sarai contattato da un nostro esperto, che elaborerà con te la soluzione più adatta alle tue esigenze.

In sintesi, l’obiettivo del GDPR è rafforzare la protezione dei dati per tutte le persone, dandoci il pieno controllo dei nostri dati. Avremo una normativa uguale in tutti i paesi della Comunità Europea, in grado di garantire efficacemente e concretamente il diritto alla tutela di tutti i dati personali (non solo di quelli sensibili), chiarendo come debbano essere trattati, incluse le modalità di raccolta, utilizzo, protezione e condivisione.
Il Codice Privacy (d. lgs. 196/03) viene in parte abrogato.

Quando si applica il GDPR

In sintesi, si applica a tutti.

Il GDPR è pienamente applicabile a partire dal 25 maggio 2018 per tutte le persone fisiche (professionisti, medici, fisioterapisti, dentisti ecc.) e giuridiche (società di persone o di capitali, private o pubbliche, organizzazioni con o senza scopo di lucro, enti pubblici ecc.) che trattano dati personali di terzi per fini non personali e domestici.

In particolare, sono tenuti al trattamento dei dati personali in modo corretto e aderente al GDPR tutti coloro che svolgono un’attività economica, a fini di lucro e non-profit (comprese le associazioni):

    • la cui base operativa si trova nell’Unione Europea (ciò vale indipendentemente dal fatto che il trattamento abbia luogo nel territorio UE o meno).
    • che, pur non avendo sede nell’Unione Europea:
      • offrono beni o servizi (anche gratuitamente) a cittadini europei.
      • monitorano il comportamento delle persone che risiedono nella UE, a patto che tale comportamento abbia luogo all’interno del territorio UE.

Un sondaggio PwC ha evidenziato che il GDPR è una priorità anche per il 92% di tutte le aziende statunitensi intervistate.

Trattandosi di un Regolamento dell’Unione Europea, la scadenza è tassativa perché immediatamente efficace senza necessità di recepimento da parte dello Stato italiano.

L’art. 2 del GDPR 679/2016 prevede che il Regolamento si applichi al trattamento dei dati personali (cioè del nome, codice fiscale, email, foto, indirizzo, partita iva, dati bancari ecc.) in formato cartaceo e/o digitale, contenuti in archivio o destinati a esserci in futuro.

I rischi e le sanzioni

Le sanzioni previste per chi non osserva il Nuovo Regolamento Europeo Privacy sono:

  1. ammonizione scritta in caso di una prima mancata osservanza non intenzionale;
  2. accertamenti regolari e periodici sulla protezione dei dati;
  3. multa fino a 20 milioni di euro o fino al 4% del volume d’affari globale registrato nell’anno precedente.

Cosa cambia

Il Regolamento attua una tutela più concreta del dato personale del cittadino attraverso l’introduzione di limiti chiari e precisi sulla modalità di trattamento (cioè di gestione) del dato sia in Italia che all’estero. Inoltre stravolge il concetto di tutela passando dall’attuale impianto basato su formalismi documentali e di ruoli ad un sistema basato sulla progettazione della tutela (Privacy by design).

Cosa fare concretamente

È fondamentale effettuare una ricognizione all’interno della propria organizzazione e un’analisi per valutare lo stato dell’arte e valutare le azioni da porre in essere per adeguarsi al nuovo GDPR.

È necessario verificare chi e come effettua la raccolta dei dati, chi può consultarli e/o modificarli, come sono conservati, con quali strumenti e con quale diffusione è stata fornita l’informativa ed eventualmente acquisito il consenso al trattamento. Importante anche analizzare l’organigramma funzionale dei ruoli e degli incarichi.

La mappatura va quindi analizzata alla luce del GDPR e si deve procedere alla redazione di una procedura gestionale che rispetti i nuovi limiti e i nuovi doveri introdotti dal Regolamento.
Questa operazione costituisce la novità essenziale. Solo attraverso l’attività descritta e la successiva progettazione del trattamento sarà possibile dimostrare di aver attuato la sicurezza del trattamento al meglio delle proprie possibilità.

Fondamentalmente, due sono gli aspetti su cui lavorare:

  1. aspetti gestionali: verifica dei sistemi rispetto alle misure minime e analisi della sicurezza fisica
  2. aspetti documentali: predisporre l’informativa, la lettera di nomina, attuare la formazione e la sensibilizzazione rispetto alla novità, procedere alla gestione del disciplinare interno

Ruoli

Anche il Regolamento, come già il Codice sulla Privacy, identifica i principali ruoli dei soggetti attori del trattamento.

Titolare del trattamento
Persona fisica o giuridica a cui competono tutte le responsabilità nell’ambito di uno specifico trattamento di dati.
Responsabile del trattamento
Figura tecnica qualificata a cui demandare parte delle responsabilità gestionali (interno o esterno).
Responsabile della protezione dei dati personali o Data Protection Officier (DPO)
È la figura professionale identificata dal GDPR a presidio del trattamento dati nei seguenti casi:

  • organi o enti o autorità pubblici;
  • trattamenti su larga scala (ad es. supermercati, ipermercati, aeroporti, aziende sanitarie);
  • trattamenti su larga scala di dati relativi a reati penali e condanne.

Il DPO deve essere nominato tra figure con elevata qualità professionali e ampia conoscenza specifica.
È una figura obbligatoria nei casi sopra indicati. Ove sia prevista come facoltativa, è consigliabile istituirla.

Incaricato
Persona fisica che concretamente tratta il dato personale.

Misure di sicurezza

La nuova norma sopprime l’obbligo di adozione di misure minime di sicurezza (firewall, backup ecc.), ma impone la valutazione del rischio rispetto al quale il titolare deve attuare dei comportamenti tutelanti per il trattamento dei dati.

Principio di acconuntability
art. 24: responsabilizzazione del titolare del trattamento.
Principio di privacy by design
art. 25: responsabilità progettuale.

Quindi dovrà essere comprovata l’organizzazione per garantire la tutela del dato trattato.

Informativa sulla privacy

L’informativa inerente il trattamento dei dati deve essere trasparente, comprensibile e completa. Sarà quindi necessario riscrivere le “vecchie” informative alla luce della nuova normativa.

Consenso al trattamento dei dati

Il consenso deve essere richiesto per specifiche finalità e non in modo generico.

Mettiti in regola

Data Protection team

Non correre rischi: affidati al nostro partner Data Protection Team che, in collaborazione con l’Associazione Data Protection Officer (ASSO DPO), si occupa esclusivamente di protezione dei dati.

Contattaci per ricevere ulteriori informazioni.
Riceverai il link per effettuare il pre-assessment (gratuito).

Inizia a crescere con noi

Lasciaci i tuoi dati per conoscere i dettagli di un percorso creato su misura per te, che ti aiuterà a raggiungere i tuoi obiettivi di business.