SEI IN REGOLA CON IL GDPR?

DOMANDE CHE DOVREBBERO FARSI LAVORATORI AUTONOMI E LIBERI PROFESSIONISTI.

CHI HA L’OBBLIGO DI RISPETTARE IL GDPR

Tutte le aziende, dalla più grande alla più piccola, hanno inevitabilmente a che fare con i dati personali.

Infatti, se nei propri archivi si detiene anche solo il nome, il cognome e il numero di telefono/mail di un cliente, fornitore, dipendente, socio o collaboratore, allora, di fatto, si sta trattando dati personali.

Ne consegue perciò che tutte le aziende hanno l’obbligo di rispettare il GDPR.

LE CONVINZIONI ERRATE

I lavoratori autonomi e i liberi professionisti sono tra i soggetti economici maggiormente convinti che la normativa non li riguardi, oppure che per essere in regola sia sufficiente mettere in atto pochi accorgimenti, come ad esempio far firmare un’informativa generica ai propri clienti o mettere una password ai propri pc.

La realtà dei fatti è che queste semplici pratiche non sono assolutamente sufficienti per superare con esito positivo un’eventuale controllo dell’organo ispettivo, esponendo così la propria azienda alle sanzioni previste dal GDPR che, lo ricordiamo, possono essere anche molto salate.

Questa superficialità nella gestione dei dati personali è dovuta molto alla generalizzata tendenza a confondere la “privacy”, ovvero il dovere di non divulgare in giro i fatti altrui, con la “tutela dei dati personali”, che è invece l’obbligo di gestire tali dati in modo che nessun soggetto non autorizzato possa entrarne in possesso.

LE DOMANDE CHE BISOGNEREBBE FARSI

Vediamo quali sono le domande che un lavoratore autonomo o un libero professionista dovrebbe farsi per capire se è in regola con la normativa.

  1. Ho effettuato l’analisi del rischio?

L’analisi del rischio è l’attività preliminare necessaria a capire che genere di dati personali tratti nella tua azienda, come li raccogli, in che modo li utilizzi, se li comunichi a terze parti (es: commercialista, ufficio buste paga, ecc.) e a individuare in che modo potrebbero essere rubati, danneggiati o persi.

Qualsiasi sia l’esito dell’analisi, il GDPR impone il principio della minimizzazione, ovvero di raccogliere e conservare solamente i dati strettamente necessari al raggiungimento delle finalità individuate.

     2. Sto tenendo il registro dei trattamenti?

Il registro dei trattamenti è il documento che descrive tutte le caratteristiche dei trattamenti svolti. Oltre a dimostrare agevolmente la tua conformità in caso di controlli, è molto utile per avere un quadro completo e aggiornato di tutti i tuoi trattamenti.
Attenzione! Sebbene il GDPR non lo indichi sempre come obbligatorio, un chiarimento del garante italiano specifica che è necessario nella grande maggioranza delle situazioni. Basta infatti avere anche solo un dipendente perché la sua tenuta diventi automaticamente un obbligo.

     3. Sto rilasciando un’informativa privacy adeguata?
L’informativa privacy che rilasci agli interessati, ovvero alle persone fisiche cui si riferiscono i dati, deve illustrare in modo chiaro, conciso ed esaustivo come tratterai i dati che raccogli, per quali finalità, con chi li condividerai e per quanto tempo li conserverai. Inoltre deve riportare i diritti dell’interessato e i contatti del referente privacy a cui eventualmente può rivolgersi in caso do necessità. Infine, l’informativa deve essere facilmente accessibile e sempre aggiornata.

     4. Sto rilasciando l’informativa agli interessati prima di raccogliere i loro dati?
Devi essere certo che gli interessati possano sempre visionare agevolmente la tua informativa privacy e, qualora fosse necessario, in presenza di alcune finalità particolari, devi raccogliere il loro consenso esplicito. I consensi possono essere revocati in qualsiasi momento dagli interessati e vanno conservati in modo tale da poter dimostrare, in qualsiasi momento, di averli ricevuti.

     5. Quali misure di sicurezza sto adottando per proteggere i dati personali che conservo in azienda?
Il GDPR richiede che siano adottate misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, ma spetta a te, in quanto Titolare/Responsabile del trattamento, valutare le metodologie più consone a ridurre al minimo il rischio di distruzione, perdita, modifica accidentale, rivelazione e accesso non autorizzato.

     6. Sto eliminando dai miei archivi tutti i dati che non ho più motivo di conservare?
Alla scadenza del termini di conservazione o al venir meno del motivo che ne legittima il trattamento oppure quando l’interessato ne fa esplicita e legittima richiesta, devi obbligatoriamente cancellare i dati personali che stai trattenendo nei tuoi archivi. Questo perché, sempre nell’ottica di ridurre i rischi per l’interessato, il GDPR chiede che i dati personali siano conservati per il minor tempo possibile.

     7. Sono consapevole che in caso di violazione grave dei dati persoli – accidentale o illecita che sia – devo darne comunicazione all’autorità di controllo entro 72 ore?
Per violazione grave s’intende la perdita, modifica, divulgazione non autorizzata o accesso ai dati personali trattati che comporti un rischio, di tipo medio o alto, per i diritti e le libertà delle persone. Se il rischio è molto alto, occorre darne comunicazione anche agli interessati.

Un esempio di violazione dei dati è il furto del notebook aziendale oppure la perdita di una chiavetta USB contenenti dati personali.

L’OBIETTIVO DEL GDPR

Molti vedono gli obblighi imposti dal GDPR solamente come un’incombenza inutile e costosa.

Non si rendono conto che l’obiettivo della normativa non è quello di complicare la vita a chi lavora o di rimpinguare le casse dello stato con nuove sanzioni. In gioco ci sono i diritti, le libertà e, in alcuni casi, anche la vita delle persone. Perché se un dato personale viene diffuso, le conseguenze per il singolo possono essere importanti e, talvolta, anche molto gravi.

E un aspetto del genere non può essere ignorato.

LE SANZIONI

Anche dopo aver scoperto di non essere minimamente in regola con il GDPR, molti continuano a disinteressarsene nella convinzione che il Garante non faccia controlli alle piccole aziende.

In realtà, per ricevere una visita ispettiva è sufficiente che un cliente – che ad esempio non ha ricevuto l’informativa privacy o non ha potuto visionarla – faccia un esposto sul sito del Garante.

Sebbene la maggior parte dei controlli avvengano sulla base di un programma a cadenza semestrale, i restanti sono disposti in seguito a reclami e segnalazioni da parte dei cittadini.

L’unica certezza che si può avere è che chi viene trovato inadempiente sarà sicuramente sanzionato.

LA SOLUZIONE

L’insieme dei punti sopra elencati sembra richiedere un lavoro immane.

In realtà, con la messa in campo di competenze tecniche specifiche, la rivisitazione di alcune procedure aziendali e l’utilizzo di giusti strumenti informatici, è possibile rendere la propria attività lavorativa costantemente conforme al GDPR. 

In tal senso, piattaforma PersonalDox offre un grande aiuto alle piccole realtà aziendali facilitando il raggiungimento di questo obiettivo.

👉 Se vuoi saperne di più, visita il nostro sito alla pagina: https://www.personaldox.com/

Condividi:

Facebook
LinkedIn

Articoli collegati