FAQ Gdpr

E’ il regolamento europeo 679/2016 il cui acronimo sta per General Data Protection Regulation.

E’ una definizione riduttiva. Il Regolamento tutela in maniera più ampia i diritti delle persone, “con particolare riguardo” ai dati personali. Esso si prefigge di elevare il livello di protezione dei dati e, attraverso questo, determinare impatti positivi sulla intera economia digitale.

Di fatto, a tutti. Eccezion fatta per i dati conservati per scopi privati e personali (es. la nostra rubrica telefonica con i contatti dei nostri amici), tutte le aziende, i professionisti, le associazioni etc, che raccolgono dati di persone fisiche per l’esercizio delle proprie attività, devono adeguarsi alle prescrizioni del GDPR. Ecco alcuni esempi di dato personale: i dati anagrafici, il codice fiscale, le foto personali, la registrazione della voce, le abitudini alimentari, i dati medici e così via.

No, stavolta non è così. Viviamo in un’era digitale, dove tutto è connesso: chi non ha capito questo, e mantiene la sua attività fuori rete, sta lentamente e inesorabilmente soccombendo.
Per chi invece vuole mantenere in vita la propria attività, capire che il mondo è ormai “digitale” è una questione vitale. E, in un mondo digitale, l’asset più prezioso sono proprio i dati. E’ per questo che le associazioni criminali fanno di tutto per rubarli ed è per questo che dobbiamo difenderli.
Il GDPR è in sostanza una grande opportunità per modernizzare il proprio lavoro e migliorare la propria competitività e la propria immagine.

Perché è effettivamente migliore.
Attraverso l’acquisizione fraudolenta di dati personali, anche semplici dati comuni come nome cognome e codice fiscale, avvengono quotidianamente centinaia di reati basati proprio sul furto di identità.
E’ evidente che tutti gli utenti tenderanno sempre più a rivolgersi a fornitori in grado di garantire al meglio la protezione dei propri dati, selezionando aziende e professionisti di adeguato livello. Questo determinerà l’ulteriore vantaggio di porre fuori mercato chi lavora nel sommerso e fuori da tutte le regole
 

Ni. Spieghiamo meglio: il regolamento si applica alle persone fisiche, e un’azienda non lo è. Quindi se nella mia attività vendo prodotti ad aziende e non ho clienti “persone fisiche” non dovrei applicare il gdpr.
Ma se ho dipendenti? Qui torna l’obbligo, visto che con essi trattiamo anche dati sensibili (certificati di malattia, possibili iscrizioni ad associazioni sindacali…)
E se ho un sito? E con esso raccolgo dati attraverso il modulo di contatto..?
Insomma, è davvero difficile essere completamente esclusi; ma non è questo che deve interessarci, dobbiamo coglierne l’aspetto positivo: la norma ci costringe a crescere, sotto il profilo della protezione dei dati.
E i dati sono anche i nostri, sono i sw di gestione della nostra azienda, sono i dati dei nostri clienti e dei fornitori, se perdiamo questi che succede? Se un virus ci blocca i contatti, i telefoni VOIP, le mail, il gestionale per i preventivi e la fatturazione ……….
Insomma: ciascun imprenditore, ciascun negoziante, la sera chiude a chiave la propria sede per proteggere macchine, computer, merce… ecco, deve solo capire che dimentica di chiudere a chiave qualcosa di importante almeno quanto il resto…

Nel settore pubblico: Sempre
Nel settore privato: solo se le attività principali del titolare del trattamento prevedono il monitoraggio regolare e sistematico degli interessi (c.d. profilazione) oppure il trattamento, ugualmente su larga scala, di dati particolari (salute, etnia, religione, condanne penali, reati...)

Se non ricorrono le condizioni appena dette non c’è l’obbligo, ma certo non è vietato, anzi. Il garante vede senz’altro di buon occhio la nomina di un esperto che affianchi il titolare nella trattazione di una materia non propriamente semplice

In realtà no, ma se anche la norma non ne prevede l'obbligo assoluto, riteniamo che sia il titolare sia i vari responsabili debbano assolutamente redigere e mantenere aggiornato un registro dei trattamenti. E’ il documento più importante dell’intero sistema della privacy, per i benefici che è in grado di procurare.
Attraverso esso avremo infatti una foto chiara dei trattamenti e dei principali processi aziendali

Lo è in caso di particolari trattamenti, su larga scala e che possono determinare particolari rischi per gli interessati. E' tuttavia sempre necessario fare una valutazione preventiva come buona prassi per la gestione di nuovi trattamenti e/o l’utilizzo di nuove tecnologie, dove valutare i possibili rischi cui potremmo esporre gli interessati.

L'impegno delle varie associazioni di categoria è fin troppo meritorio. Tuttavia, i tempi a disposizione e la disponibilità di risorse interne non possono certo coprire l'intero campo di applicazione della norma che, ricordiamo,  riguarda sia l'aspetto documentale che tecnico.

Basta infatti leggere l’Art. 24 sulle responsabilità del titolare, chiamato a …”mettere in atto misure tecniche e organizzative adeguate …”, o l'Art. 5, o l'Art.32...
L’adeguamento al regolamento 679/2016 EU è sia tecnico che organizzativo ed è tutt’altro che semplice.
Nei documenti dobbiamo scrivere come ci siamo organizzati per trattare nella giusta maniera i dati e come li abbiamo protetti, e questo riusciremo a farlo solo con conoscenze specifiche, sia legali che tecniche.