Trattamento dati personali per piccole imprese e start up innovative: cosa fare per adeguare l’azienda alle norme sulla privacy

regolamento privacy 2016

Il GDPR si rivolge a tutti gli operatori che trattano dati personali; le piccole imprese, i liberi professionisti, le start up, in particolare quelle innovative non sono assolutamente esonerate dagli obblighi previsti dal Regolamento n. 679. Non esiste alcuna deroga, le sanzioni per chi non è a norma con le nuove regole in materia di privacy si applicano proprio a tutti!

Sta di fatto che le operazioni da compiere per una grande e media impresa, ad esempio con filiali anche all’estero, sono certamente maggiori e più delicate rispetto a quelle che si trova ad affrontare una piccola ditta o società, tuttavia nessuno è escluso dalle analisi di base e dall’implementazione delle misure di sicurezza e organizzative per tutelare i dati personali trattati e dall’adozione di misure che attestino che le analisi e le valutazioni dei rischi connessi al trattamento siano state svolte opportunamente. Questo soprattutto quando l’impresa è online; si pensi ad un B&B, ad un albergo che prende prenotazioni attraverso un proprio sito web o appoggiandosi ad un portale di terzi, ad un commerciante che ha da poco deciso di estendere la sua attività sul proprio sito di commercio elettronico, ad una start up che ha sviluppato una nuova applicazione o anche all’agenzia di web marketing che gestisce operazioni pubblicitarie on line per conto di terzi e che, di certo, in questo periodo, è sommersa dalle numerose richieste di chiarimenti che provengono dai clienti che non sanno come operare per rendersi compliance alle nuove norme.

Quali sono quindi le operazioni preliminari da svolgere per rendersi conformi alle nuove regole sulla privacy, anche se si è piccoli?

Si tenga presente che ogni impresa ha i propri trattamenti, raccoglie e opera su specifiche categorie di dati e svolge specifiche operazioni su questi ed è proprio per tale motivo che il legislatore europeo ha preferito lasciare maggiore libertà al titolare del trattamento responsabilizzandolo e consentendogli di effettuare analisi personalizzate e individuare misure proporzionate anche esse proprie, adeguate al contesto organizzativo personale e alle finalità del trattamento. Resta il fatto che alcune operazioni dovranno essere svolte comunque in via preliminare indistintamente da tutti, si tratta ad esempio dell’assessment e delle attività di audit (verifiche e analisi preliminari sulla situazione esistente in azienda e valutazione dello scostamento rispetto alle norme sulla privacy). Ma anche la formazione e l’istruzione dei dipendenti autorizzati a trattare solo i dati in linea con le loro mansioni (secondo il principio del minimo privilegio) e l’individuazione dell’iter adottato per la cancellazione dei dati e delle soluzioni per consentire agli interessati di esercitare i propri diritti, che dovranno risultare assunte a prescindere dal fatto che l’impresa sia stata raggiunta da una effettiva richiesta sono azioni fondamentali. Come, al contempo, la redazione corretta dei contratti per la designazione dei responsabili del trattamento e la valutazione della loro affidabilità in termini di sicurezza dei dati affidati, in particolare quando sono localizzati fuori dal territorio dell’Unione Europea e quindi quando i dati personali di cittadini residenti nell’Unione vengono trasferiti ad altri soggetti che si trovano in Stati non europei (questo può accadere anche all’insaputa dell’imprenditore, ad esempio attraverso un cookies installato sul proprio sito web), l’implementazione di istruzioni operative e policy interne per adeguare la propria azienda al GDPR in materia di privacy, la DPIA (valutazioni d’impatto privacy), valutando quando essa è necessaria e quando opportuna, l’individuazione dei casi in cui è necessario ottenere il consenso espresso al trattamento o la sussistenza di un interesse legittimo su cui fondarne la legittimità, sono azioni di importanza cruciale per procedere nel modo più corretto nel processo di adeguamento alle nuove norme, come pure, l’analisi delle informative esistenti e del modo in cui i consensi sono stati ottenuti sino a questo momento, intervenendo con opportune correzioni per rendere tali documenti compliance con il GDPR. Se poi l’impresa svolge attività di marketing o profilazione occorre analizzare altresì quali finalità con esse si intende ottenere, in modo da individuare le azioni corrette richieste dalle norme prima di procedere, come occorre esaminare ogni eventuale nuova iniziativa, un nuovo software, una nuova applicazione, un nuovo processo al fine di prevedere i rischi potenziali sul trattamento dei dati personali e minimizzarne gli impatti e impostare percorsi concreti, utili all’impresa per rispondere in maniera efficace e tempestiva quando l’interessato esercita i propri diritti in materia di privacy, formando convenientemente collaboratori e dipendenti.

Per svolgere queste e le altre operazioni opportunamente, allestendo misure specifiche adatte al tipo di attività svolta e alla categoria di dati trattati, è fondamentale avere il supporto di un consulente esperto che affianchi l’impresa nell’iter di adeguamento al GDPR, che fornisca una consulenza privacy valida e personalizzata, tenendo presente che, per evitare di incorrere in sanzioni, è altrettanto necessario documentare correttamente tutte le analisi svolte, verbalizzare le riunioni, le decisioni assunte, i motivi delle scelte, la formazione dei dipendenti e dei collaboratori, ecc.

Si tratta di un esercizio che va periodicamente ricompiuto, in particolare ogni volta che l’impresa assume una nuova iniziativa che comporti il trattamento dei dati personali, ricordando che occorre anche implementare meccanismi che consentano di vigilare sul rispetto delle norme; questo permetterà all’impresa non solo di evitare multe salate, ma anche di guadagnare una migliore reputazione agli occhi di stakeholders e clienti.

Ecco perché affiancarsi ad un consulente esperto in materia di privacy per affrontare il processo di verifica dei trattamenti esistenti e di adeguamento della struttura aziendale alle norme in materia di dati personali può risultare la soluzione più efficace, in particolare, quando si è una start up o una piccola impresa o società.

Annalisa Spedicato – Avvocato Esperto in IP ICT e Privacy

RICHIEDI CONSULENZA

Autore Avvocato Spedicato IP ICT Privacy

Avvocato Esperto in IP ICT e Privacy