Il Nuovo Regolamento sulla Privacy e PMI
Le novità più importanti sul trattamento dei dati per le Piccole e Medie Imprese
Il 25 maggio scorso è entrato in vigore nel nostro ordinamento giuridico il Regolamento UE 2016/679 sulla Protezione dei Dati (GDPR) - la famosa "nuova legge sulla Privacy" - e anche le PMI devono pertanto iniziare a valutare con estrema cura i nuovi adempimenti normativi, specialmente in riferimento a quello che riguarda l’implementazione di un sistema di protezione dei dati efficace, oltre a quanto previsto dal D. Lgs. n° 196/2003 sulla Privacy.
Quali sono le principali novità introdotte dal Nuovo Regolamento sulla Privacy?
In ottemperanza al GDPR le piccole e medie imprese sono tenute ad adempiere ad un insieme di nuove normative che coinvolgono l’intera struttura aziendale. Nello specifico deve essere effettuata un’iniziale analisi del rischio e procedere contestualmente alla mappatura dei dati aziendali, per poi implementare adeguati sistemi di sicurezza, ponendo attenzione al livello di protezione ed ai costi.
Quali sono gli step da seguire per adeguare la struttura organizzativa alla nuova normativa?
Le PMI dovranno dedicare i primi giorni di lavoro per l’adeguamento al GDPR esclusivamente ad effettuare una ricognizione articolata sui dati, sui trattamenti, sugli interessati e su chi li tratta.
La prima attività consiste nella mappatura e individuazione del rischio/peso di ogni singolo dato, evidenziando quelli "più pericolosi" in rapporto a dove sono nella struttura aziendale.
La seconda tipologia di ricognizione è relativa ai trattamenti, ossia una verifica accurata delle finalità di raccolta dei dati (ad esempio: gestione dei clienti, dei dati del personale, fini di marketing ecc.).
La terza attività di verifica dovrebbe riguardare gli interessati, ossia i soggetti che ci forniscono le informazioni. In riferimento ai soggetti interessati, occorre fare una distinzione fra dati sensibili (che riguardano la razza, le convinzioni religiose, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico o politico, lo stato di salute e la vita sessuale), dati comuni (relativi ad altre informazioni sulla sfera personale), dati anonimi (che non sono associati al singolo individuo) o pseudonimizzati (costituiti da sigle, password o "nick name").
Per ultimo, occorre porre attenzione a chi tratta i dati all’interno dell’azienda, ossia individuare il titolare del trattamento (ossia colui che "da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali") e l’eventuale responsabile/i del trattamento (interni o esterni e l’eventuale Data Protection Officer (DPO), che può essere anche esterno).
Quali sono le procedure da utilizzare per la protezione dei dati?
Un primo procedimento che il GDPR prevede è denominato "pseudonimizzazione", che fa sì che i dati personali non possano più essere attribuiti direttamente ad un soggetto specifico senza l’utilizzo di informazioni aggiuntive (che devono essere conservate separatamente e non associabili).
Una seconda procedura tecnica è il cosiddetto "diritto alla portabilità dei dati", che stabilisce che l’interessato abbia il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano e che aveva fornito a suo tempo.
Per quanto riguarda le PMI una procedura altamente consigliata è quella della "minimizzazione del trattamento", facendo sì che i dati trattati siano sempre solo quelli realmente indispensabili alle finalità aziendali. Diventano importanti, in particolare, le opportune configurazioni dei sistemi informatici, nonché la valutazione se sono raccolti "troppi dati" o "dati inutili"; infatti sono sempre di più le PMI che usano sofisticati strumenti software e algoritmi per trattare in maniera automatizzata grandi quantità di dati, con l’obiettivo di profilare le persone ai fini marketing e per le vendite.
Quali sono le strategie per evitare le sanzioni?
Le sanzioni previste per le PMI dal GDPR sono di importo elevato, che varia a seconda della violazione commessa, ma con la possibilità di graduare la sanzione a seconda di alcuni parametri, come ad esempio la gravità del fatto, la dimensione dell’azienda, il danno effettivamente arrecato ai soggetti e la buona condotta dell’azienda prima e dopo (nel limitare il danno dei diritti degli utenti). Sono previste due macro-categorie di violazioni: una prima più lieve, che coinvolge i nuovi adempimenti in materia di misure di sicurezza, fino a 10 milioni di euro o al 2% del fatturato globale annuo dell’azienda, e una seconda collegata alle violazioni dei diritti dell’interessato, dei principi del trattamento, delle norme sul trasferimento dei dati all’estero, con sanzioni fino a 20 milioni di euro e al 4% del fatturato. In caso di eventi irrisori e che non presentano rischi significativi per gli interessati, ci potrà essere una diffida in alternativa alla sanzione pecuniaria, e interessante sarà anche valutare il grado di cooperazione fornito dalla PMI per creare un quadro di sanzioni che sarà graduale.
Quali sono le principali novità introdotte dal Nuovo Regolamento sulla Privacy?
In ottemperanza al GDPR le piccole e medie imprese sono tenute ad adempiere ad un insieme di nuove normative che coinvolgono l’intera struttura aziendale. Nello specifico deve essere effettuata un’iniziale analisi del rischio e procedere contestualmente alla mappatura dei dati aziendali, per poi implementare adeguati sistemi di sicurezza, ponendo attenzione al livello di protezione ed ai costi.
Quali sono gli step da seguire per adeguare la struttura organizzativa alla nuova normativa?
Le PMI dovranno dedicare i primi giorni di lavoro per l’adeguamento al GDPR esclusivamente ad effettuare una ricognizione articolata sui dati, sui trattamenti, sugli interessati e su chi li tratta.
La prima attività consiste nella mappatura e individuazione del rischio/peso di ogni singolo dato, evidenziando quelli "più pericolosi" in rapporto a dove sono nella struttura aziendale.
La seconda tipologia di ricognizione è relativa ai trattamenti, ossia una verifica accurata delle finalità di raccolta dei dati (ad esempio: gestione dei clienti, dei dati del personale, fini di marketing ecc.).
La terza attività di verifica dovrebbe riguardare gli interessati, ossia i soggetti che ci forniscono le informazioni. In riferimento ai soggetti interessati, occorre fare una distinzione fra dati sensibili (che riguardano la razza, le convinzioni religiose, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico o politico, lo stato di salute e la vita sessuale), dati comuni (relativi ad altre informazioni sulla sfera personale), dati anonimi (che non sono associati al singolo individuo) o pseudonimizzati (costituiti da sigle, password o "nick name").
Per ultimo, occorre porre attenzione a chi tratta i dati all’interno dell’azienda, ossia individuare il titolare del trattamento (ossia colui che "da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali") e l’eventuale responsabile/i del trattamento (interni o esterni e l’eventuale Data Protection Officer (DPO), che può essere anche esterno).
Quali sono le procedure da utilizzare per la protezione dei dati?
Un primo procedimento che il GDPR prevede è denominato "pseudonimizzazione", che fa sì che i dati personali non possano più essere attribuiti direttamente ad un soggetto specifico senza l’utilizzo di informazioni aggiuntive (che devono essere conservate separatamente e non associabili).
Una seconda procedura tecnica è il cosiddetto "diritto alla portabilità dei dati", che stabilisce che l’interessato abbia il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano e che aveva fornito a suo tempo.
Per quanto riguarda le PMI una procedura altamente consigliata è quella della "minimizzazione del trattamento", facendo sì che i dati trattati siano sempre solo quelli realmente indispensabili alle finalità aziendali. Diventano importanti, in particolare, le opportune configurazioni dei sistemi informatici, nonché la valutazione se sono raccolti "troppi dati" o "dati inutili"; infatti sono sempre di più le PMI che usano sofisticati strumenti software e algoritmi per trattare in maniera automatizzata grandi quantità di dati, con l’obiettivo di profilare le persone ai fini marketing e per le vendite.
Quali sono le strategie per evitare le sanzioni?
Le sanzioni previste per le PMI dal GDPR sono di importo elevato, che varia a seconda della violazione commessa, ma con la possibilità di graduare la sanzione a seconda di alcuni parametri, come ad esempio la gravità del fatto, la dimensione dell’azienda, il danno effettivamente arrecato ai soggetti e la buona condotta dell’azienda prima e dopo (nel limitare il danno dei diritti degli utenti). Sono previste due macro-categorie di violazioni: una prima più lieve, che coinvolge i nuovi adempimenti in materia di misure di sicurezza, fino a 10 milioni di euro o al 2% del fatturato globale annuo dell’azienda, e una seconda collegata alle violazioni dei diritti dell’interessato, dei principi del trattamento, delle norme sul trasferimento dei dati all’estero, con sanzioni fino a 20 milioni di euro e al 4% del fatturato. In caso di eventi irrisori e che non presentano rischi significativi per gli interessati, ci potrà essere una diffida in alternativa alla sanzione pecuniaria, e interessante sarà anche valutare il grado di cooperazione fornito dalla PMI per creare un quadro di sanzioni che sarà graduale.
Articolo del: