FAQ Gdpr

FAQ GDPR Nuova Privacy
FAQ GDPR

FAQ GDPR – Alcune fra le domande più frequenti che ci vengono formulate sul nuovo Regolamento Europeo 679/2016 – General Data Protection Regulation

Cosa è il GDPR?
E’ il regolamento europeo 679/2016 il cui acronimo sta per General Data Protection Regulation.
Si tratta quindi della nuova “Legge sulla Privacy”, già Dlg 196/2013?
E’ una definizione riduttiva. Il Regolamento tutela in maniera più ampia i diritti delle persone, “con particolare riguardo” ai dati personali. Esso si prefigge di elevare il livello di protezione dei dati e, attraverso questo, determinare impatti positivi sulla intera economia digitale.
A chi si applica il GDPR?
Di fatto, a tutti. Eccezion fatta per i dati conservati per scopi privati e personali (es. la nostra rubrica telefonica con i contatti dei nostri amici), tutte le aziende, i professionisti, le associazioni etc, che raccolgono dati di persone fisiche per l’esercizio delle proprie attività, devono adeguarsi alle prescrizioni del GDPR. Ecco alcuni esempi di dato personale: i dati anagrafici, il codice fiscale, le foto personali, la registrazione della voce, le abitudini alimentari, i dati medici e così via.
Insomma, l’ennesimo balzello che farà spendere soldi ad aziende e professionisti?
No, stavolta non è così. Viviamo in un’era digitale, dove tutto è connesso: chi non ha capito questo, e mantiene la sua attività fuori rete, sta lentamente e inesorabilmente soccombendo.
Per chi invece vuole mantenere in vita la propria attività, capire che il mondo è ormai “digitale” è una questione vitale. E, in un mondo digitale, l’asset più prezioso sono proprio i dati. E’ per questo che le associazioni criminali fanno di tutto per rubarli ed è per questo che dobbiamo difenderli.
Il GDPR è in sostanza una grande opportunità per modernizzare il proprio lavoro e migliorare la propria competitività e la propria immagine.
Competitività…immagine…perché la mia azienda dovrebbe essere considerata migliore di un’altra che non si è adeguata prontamente alla nuova normativa sulla protezione dei dati?
Perché è effettivamente migliore.
Attraverso l’acquisizione fraudolenta di dati personali, anche semplici dati comuni come nome cognome e codice fiscale, avvengono quotidianamente centinaia di reati basati proprio sul furto di identità.
E’ evidente che tutti gli utenti tenderanno sempre più a rivolgersi a fornitori in grado di garantire al meglio la protezione dei propri dati, selezionando aziende e professionisti di adeguato livello. Questo determinerà l’ulteriore vantaggio di porre fuori mercato chi lavora nel sommerso e fuori da tutte le regole
Allora se nella mia attività ho a che fare solo con aziende e non con privati non mi devo adeguare al GDPR?
Ni. Spieghiamo meglio: il regolamento si applica alle persone fisiche, e un’azienda non lo è. Quindi se nella mia attività vendo prodotti ad aziende e non ho clienti “persone fisiche” non dovrei applicare il gdpr.
Ma se ho dipendenti? Qui torna l’obbligo, visto che con essi trattiamo anche dati sensibili (certificati di malattia, possibili iscrizioni ad associazioni sindacali…)
E se ho un sito? E con esso raccolgo dati attraverso il modulo di contatto..?
Insomma, è davvero difficile essere completamente esclusi; ma non è questo che deve interessarci, dobbiamo coglierne l’aspetto positivo: la norma ci costringe a crescere, sotto il profilo della protezione dei dati.
E i dati sono anche i nostri, sono i sw di gestione della nostra azienda, sono i dati dei nostri clienti e dei fornitori, se perdiamo questi che succede? Se un virus ci blocca i contatti, i telefoni VOIP, le mail, il gestionale per i preventivi e la fatturazione ……….
Insomma: ciascun imprenditore, ciascun negoziante, la sera chiude a chiave la propria sede per proteggere macchine, computer, merce… ecco, deve solo capire che dimentica di chiudere a chiave qualcosa di importante almeno quanto il resto…
E’ obbligatoria la nomina del “Responsabile della protezione dei dati? (DPO)
Nel settore pubblico: Sempre
Nel settore privato: solo se le attività principali del titolare del trattamento prevedono il monitoraggio regolare e sistematico degli interessi (c.d. profilazione) oppure il trattamento, ugualmente su larga scala, di dati particolari (salute, etnia, religione, condanne penali, reati…)
Allora se ho ad esempio un’azienda che si occupa di vendita, a livello locale, non devo nominare il DPO?
Se non ricorrono le condizioni appena dette non c’è l’obbligo, ma certo non è vietato, anzi. Il garante vede senz’altro di buon occhio la nomina di un esperto che affianchi il titolare nella trattazione di una materia non propriamente semplice
E’ obbligatorio tenere il registro dei trattamenti?
In realtà il “Registro dei trattamenti” è obbligatotio nelle fattispecie individuate dall’ art 30 del Regolamento, ma se anche la norma non ne prevede l’obbligo assoluto, riteniamo che sia il titolare sia i vari responsabili debbano assolutamente redigere e mantenere aggiornato detto registro. Ciò sia per ragioni di opportunità che per il rischio di ricadere nell’obbligo normativo nell’ipotesi di errate valutazioni d’impatto dei propri dati. E’ il documento più importante dell’intero sistema della privacy, per i benefici che è in grado di procurare.
Attraverso esso avremo infatti una foto chiara dei trattamenti e dei principali processi aziendali
E’ obbligatoria l’effettuazione della PIA (Privacy Impact Assessment)?
Lo è in caso di particolari trattamenti, su larga scala e che possono determinare particolari rischi per gli interessati. E’ tuttavia sempre necessario fare una valutazione preventiva come buona prassi per la gestione di nuovi trattamenti e/o l’utilizzo di nuove tecnologie, dove valutare i possibili rischi cui potremmo esporre gli interessati.
La mia associazione di categoria mi fornisce tutti i moduli per fare le nomine, il registro dei trattamenti..; ne ho già trovati altri online. Perché per riempire la solita modulistica dovrei aver bisogno di un consulente?
L’impegno delle varie associazioni di categoria è fin troppo meritorio. Tuttavia, i tempi a disposizione e la disponibilità di risorse interne non possono certo coprire l’intero campo di applicazione della norma che, ricordiamo, riguarda sia l’aspetto documentale che tecnico.
Basta infatti leggere l’Art. 24 sulle responsabilità del titolare, chiamato a …”mettere in atto misure tecniche e organizzative adeguate …”, o l’Art. 5, o l’Art.32…
L’adeguamento al regolamento 679/2016 EU è sia tecnico che organizzativo ed è tutt’altro che semplice.
Nei documenti dobbiamo scrivere come ci siamo organizzati per trattare nella giusta maniera i dati e come li abbiamo protetti, e questo riusciremo a farlo solo con conoscenze specifiche, sia organizzative che tecniche.
Hai delle FAQ GDPR da sottoporci? Utilizza il modulo a fianco, saremo lieti di indicare le risposte
Vuoi maggiori info: chiamaci o inviaci una mail. Vai alla pagina Contatti