Il Regolamento generale sulla protezione dei dati (GDPR) ha definito nuovi e stringenti requisiti per il trattamento delle informazioni personali degli individui all’interno dell’Unione Europea che riassumiamo in questa brevissima guida completa al GDPR per le PMI.
E’ anzitutto importante tenere presente che, dalla sua introduzione, le piccole e medie imprese devono affrontare gli stessi obblighi delle grandi aziende e devono modificare le loro procedure per garantire la conformità al GDPR.
Abbiamo già avuto modo di trattare l’argomento nello speciale: Riflessioni sul GDPR, come cambia la tutela dei dati personali con la General Data Protection Regulation al quale hanno partecipato illustri esperti in materia.
Quando il GDPR ha introdotto il concetto di ‘responsabilità proattiva’, ha infatti posto le aziende nella posizione di dover dimostrare di adottare misure efficaci per integrare la tutela della Privacy in tutti i propri processi e attività, a cominciare dal condurre una valutazione d’impatto sulla protezione dei dati per identificare i rischi specifici legati al trattamento di dati personali al fine di rivelare carenze nelle prassi attuali e indirizzare gli sforzi per colmarle.
Avendo meno risorse rispetto alle grandi aziende, le PMI devono necessariamente identificare le aree di priorità e concentrarsi su di esse per informare e formare i dipendenti sul GDPR, aggiornare le proprie informative Privacy, richiedere un consenso esplicito quando necessario e porre le basi per rispondere prontamente alle richieste degli interessati.
Vediamo ne dettaglio questi basilari adempimenti:
Informare e formare i dipendenti sul GDPR
Se implementate correttamente, queste tecniche possono aiutare a garantire che tutti i dipendenti comprendano e rispettino pienamente i nuovi obblighi in materia di privacy.
Anzitutto bisognerebbe organizzare sessioni di formazione specifiche sul GDPR e su come esso influisca sulle procedure e le attività quotidiane. Coinvolgere un esperto di privacy e compliance per tenere le sessioni che tengano conto della specifica attività aziendale è certamente la scelta consigliata.
Andrebbero altrettanto predisposti e distribuiti manuali o linee guida scritte che spieghino in dettaglio i nuovi requisiti GDPR e le best practice da adottare (assicurandosi che tutti i dipendenti li abbiano letti e compresi) con esempi pratici su come vadano applicati alle procedure aziendali.
Bisognerà quindi designare un ‘Responsabile GDPR’ al quale i dipendenti possano successivamente rivolgersi per ulteriori domande o chiarimenti e che si faccia carico di organizzare la formazione periodica non solo per i nuovi assunti ma anche per i dipendenti esistenti dato che il GDPR e le best practice continueranno a evolversi nel tempo.
Aggiornare le proprie informative Privacy
Le informative privacy vanno aggiornate dopo l’entrata in vigore del GDPR per rispecchiare i nuovi requisiti in materia di trasparenza e consenso informato.
Bisogna utilizzare un linguaggio semplice e chiaro, facilmente comprensibile agli utenti, anziché termini giuridici complessi, per specificare in modo trasparente come vengono raccolti e trattati i dati personali, pur includendo i riferimenti normativi in base ai quali avverrà il trattamento (ad esempio, se per legittimi interessi, per l’esecuzione di un contratto, per un obbligo legale o dietro consenso dell’interessato…).
È importante informare gli interessati dei loro nuovi diritti, vale a dire il diritto di accesso, rettifica, cancellazione, limitazione e portabilità dei dati, fornendo le modalità per esercitarli. Bisogna indicare i dati di contatto del titolare del trattamento e del responsabile della protezione dei dati per eventuali quesiti.
Altrettanto la durata della conservazione dei dati o i criteri per determinarla devono essere chiaramente specificati. Gli utenti vanno inoltre informati di eventuali trasferimenti dei loro dati personali verso Paesi terzi o organizzazioni internazionali e quali garanzie vengano ad essi applicate.
Se vengono raccolti e trattati dati personali sensibili, bisogna spiegarlo con chiarezza e ottenere un consenso esplicito. Vanno fornite altresì informazioni su decisioni automatizzate, profilazione e relativa logica ed implicazioni.
Nell’aggiornamento (o creazione) delle informative Privacy, bisogna prestare attenzione ai requisiti di trasparenza, comprensibilità e accessibilità delle informative ai sensi degli articoli 12, 13 e 14 del GDPR, rendendole facilmente accessibili, ad esempio sul sito web, nelle app mobili o in formato cartaceo se pertinente.
Nota bene: è fondamentale aggiornare le informative Privacy affinché rispettino pienamente lo spirito e i dettami del GDPR in fatto di trasparenza nei confronti degli interessati perché le aziende assolvano gli obblighi posti loro dal regolamento.
Richiedere un consenso esplicito quando necessario
Se vengono raccolti e trattati categorie particolari di dati personali, vale a dire dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, dati genetici e biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale e il trattamento non sia fondato su altra base legittima, come l’esecuzione di un contratto o di un obbligo legale, il consenso dell’interessato costituisce la condizione di liceità del trattamento.
Il consenso esplicito sarà altrettanto necessario se i dati personali vengono trattati per finalità diverse e non compatibili con quelle per cui sono stati raccolti, quando i dati personali vengono trattati per finalità di marketing diretto, sia esso realizzato con mezzi automatizzati (email, SMS, notifiche push ecc.) o tradizionali (chiamate telefoniche, posta cartacea), nel caso di trasferimento di dati personali verso paesi terzi che non presentano un livello di protezione adeguato secondo la Commissione europea, a meno che non siano in vigore garanzie adeguate (clausole contrattuali tipo) o che si applichino deroghe specifiche, e infine se saranno usati per prendere decisioni automatizzate, compresa la profilazione, che producano effetti giuridici o incidano in modo analogo significativamente sull’interessato (nel qual caso gli interessati hanno il diritto di non essere sottoposti a una decisione basata unicamente su un trattamento automatizzato).
Il consenso esplicito deve essere facilmente revocabile e discontinuo. Deve essere documentato, appositamente richiesto per ciascuna finalità, libero, specifico, informato e inequivocabile.
Nota bene: l’onere della prova del consenso esplicito ricade sul titolare del trattamento!
Rispondere prontamente alle richieste degli interessati
Gli interessati hanno diritto di chiedere l’accesso ai loro dati personali, la rettifica o cancellazione degli stessi, la limitazione del trattamento che li riguarda o di opporsi al trattamento. Hanno anche diritto alla portabilità dei dati, ossia di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che li riguardano.
Quando un interessato esercita uno di questi diritti, l’azienda deve verificare immediatamente la sua identità e la pertinenza della richiesta ai dati in tuo possesso senza addebitare alcun costo per le azioni conseguenti a tali richieste (salvo in caso di richieste manifestamente infondate o eccessive).
Se le informazioni sono esatte, bisognerà fornirne copia all’interessato in formato elettronico, a meno che questi non richieda espressamente un formato diverso e nel caso di richiesta di rettifica, cancellazione o limitazione a meno che non si presentino eventuali impedimenti al soddisfacimento integrale della richiesta nel qual caso bisognerà spiegarne le motivazioni e il tempo entro il quale sarà possibile fornire riscontro.
Il tempo ragionevole per adempiere alle richieste è indicativamente di un mese dal ricevimento, salvo quando non sia possibile completare l’azione richiesta entro il detto termine, informando del ritardo e dei tempi stimati per la conclusione.
Se le PMI seguono con attento metodo questa brevissima guida completa al GDPR per le PMI , possono assicurarsi di gestire i dati personali dei clienti, dei dipendenti e dei partner in modo lecito, corretto e trasparente attraverso processi ben definiti e misure di sicurezza adeguate evitando sanzioni e guadagnandosi la fiducia delle parti interessate nel rispetto della loro Privacy.
Leggi lo speciale: Riflessioni sul GDPR, come cambia la tutela dei dati personali con la General Data Protection Regulation al quale hanno partecipato illustri esperti in materia.
Photo credit, Adobe Stock license 205906204
