All’interno di ogni azienda avviene almeno un trattamento di dati personali. Ma cosa significa trattare dati personali?

Secondo il Regolamento Europeo sulla Protezione dei Dati personali n. 679/2016 (noto come GDPR)  è un trattamento “l’operazione o l’insieme delle operazioni di raccolta, registrazione, organizzazione, conservazione, elaborazione, trasmissione, consultazione, diffusione e distruzione di un dato personale”. Mentre viene definito dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, come il nome, l’indirizzo, la fotografia, la registrazione della voce, le impronte digitali, il codice fiscale, gli estremi del documento d’identità, o l’indirizzo e-mail.

Nello svolgimento delle attività di impresa i dati personali sono presenti ovunque, dall’ufficio amministrativo a quello commerciale, dall’ufficio tecnico agli archivi, o in formato elettronico o in cartaceo.

Nel 2016 la Commissione UE, consapevole dell’impatto che l’evoluzione tecnologica ha avuto e continuerà ad avere sullo scambio di dati personali, ha voluto consolidare la normativa  già esistente in materia di privacy, adottando il Regolamento n. 679/2016 . Un decalogo di norme univoco per tutti gli Stati membri dell’Unione con l’obiettivo di superare la frammentazione normativa nazionale di ciascun paese.

Esso, essendo un atto self-executing, è immediatamente esecutivo in ogni Stato membro dell’UE. Nonostante ciò, per espressa previsione normativa, la Commissione ha lasciato un margine di 24 mesi per l’adeguamento ad esso di ogni azienda privata e pubblica senza che venissero irrogate le sanzioni previste.

Dal 25 Maggio 2018, il GDPR ha sostituito la normativa previgente e ha richiesto ad ogni stato membro di allineare la relativa normativa nazionale.

In Italia nel 2003 era già stato adottato un Codice privacy che con Decreto Legislativo n. 108/2018 è stato modificato e improntato ai principi stabiliti nel Regolamento (UE).

Una novità introdotta dal GDPR è il principio dell’ Accountability di colui che tratta i dati ovvero del Titolare del trattamentoVediamo chi è costui e cosa significa rispettare il principio di Accountability.

Secondo la definizione contenuta nel Regolamento (UE) il titolare è “la persona fisica o giuridica che determina le finalità e i mezzi del trattamento” al quale si richiede di essere Accountability, ovvero consapevole, competente e responsabile,  nei confronti di ogni trattamento di dati effettuato all’interno della propria azienda.

Avere consapevolezza significa sapere cosa si fa, quindi sapere se e come vengono trattati dati personali dei dipendenti, dei fornitori, dei clienti, ecc. all’interno della propria azienda.

Essere competente significa capire quali sono i rischi a cui si va incontro nel trattamento dei dati. Il GDPR ha introdotto un approccio al trattamento basato sul rischio, vale a dire su un’analisi consapevole delle conseguenze negative più o meno gravi che possano derivare da un utilizzo improprio, eccessivo e inadeguato dei dati. I rischi più comuni a cui possono andare incontro i dati personali sono: la distruzione, la cancellazione, la perdita irreversibile, l’indisponibilità, l’alterazione, la divulgazione o l’accesso di terzi non autorizzati. Si tratta di azioni che possono verificarsi accidentalmente oppure per volere di terzi con fini illeciti.
Al titolare del trattamento si richiede la capacità di prevedere e prevenire queste azioni con apposite procedure volte a definire delle contromisure (informatiche, organizzative, informative, ecc.) adeguate. Ma questo non basta. È necessario che il titolare dimostri con i fatti e la documentazione che tutte le contromisure necessarie sono state adottate. La formazione, la definizione di best practies da seguire in azienda (ad esempio l’uso di antivirus e firewall, il costante ricambio delle password, l’utilizzo di un solo computer per ogni autorizzato al trattamento, il corretto uso della mail aziendale),la minimizzazione, l’anonimizzazione, l’impact assessment (DPIA) sono esempi di azioni da mettere in campo per far fronte a, tutti o quasi, i possibili rischi.

Essere responsabile significa dover adottare tutti gli accorgimenti necessari sotto il profilo sostanziale e formale. Ne segue che il Titolare del trattamento deve adempiere a tutti  gli obblighi previsti dalla normativa, redigendo tutta la documentazione necessaria e mettendo in campo le diverse contromisure pensate tenendo conto della tipologia del trattamento, delle finalità, dei mezzi, dei soggetti coinvolti e del contesto aziendale in cui opera.

Quindi agire con Accountability significa essere compliance al GDPR, ovvero conformi alla normativa. Ciò garantisce al titolare un adeguato trattamento dati tale per cui è assai più difficile che si verifichi un data breach ovvero una violazione dei dati  e non si incorre in sanzioni da parte delle autorità preposte ad effettuare i controlli.

In Italia sul rispetto degli adempimenti obbligatori vigila la Guardia di Finanza che collabora con l’Autorità Garante per la privacy sulla base di specifici protocolli d’intesa.

L’art. 83 GDPR stabilisce che le sanzioni amministrative applicabili per ciascun titolare sono pari ad un massimo di 10 milioni o 20 milioni di euro, o se l’importo è maggiore possono arrivare fino al 2 per cento o 4 per cento del fatturato totale dell’anno precedente.

A tal fine, è bene che un titolare del trattamento si adegui alle disposizioni normative  in ambito privacy e che lo faccia con consapevolezza, formandosi o rivolgendosi a consulenti privacy esperti ed aggiornati, capaci di guidarlo in tutto l’iter di adeguamento.

Spazio Impresa può fornirti la consulenza che ti serve accompagnandoti nell’ adeguamento, dalla stesura della documentazione necessaria e obbligatoria fino alle best practies organizzative e alla DPIA  per renderti compliance al GDPR.

Contattaci per avere maggiori informazioni e per richiedere la nostra assistenza. Spazio Impresa è a tua disposizione.