Gabriel García Márquez scriveva “Tutti gli esseri umani hanno tre vite: pubblica, privata e segreta”.
Così, mentre Chiara Ferragni e Fedez pubblicano copiosamente sui social le immagini del loro primogenito Leone Lucia, e mentre la regina di Spagna, Letizia Ortis, si muove come un animale in gabbia davanti all’obiettivo dei fotografi, mandando in fumo il selfie della regina emerita Sofia con le nipoti, lo scandalo di Cambridge Analytica dilaga imperterrito.
Un dato specifico accomuna questi tre esempi: il consenso.
Sin dai tempi del Grande fratello, e con l’avvento dei social ormai è inevitabile: la vita di ciascuno di noi e' scandita dal delicato tema della Privacy.
E in ambito lavorativo?
Dalle e-mail di benvenuto, alle foto di soggetti terzi pubblicate su social e sito dell'azienda, ai dati personali di clienti, fornitori e degli stessi dipendenti con cui si entra in contatto (ad esempio dati anagrafici e demografici, numeri di telefono, e-mail, targhe, tessere sanitarie, conti finanziari e carte di credito), ci si muove in un campo minato, disseminato di divieti e violazioni.
Quando, allora, si può ritenere un’attività rispettosa della privacy senza rischiare di scivolare su una buccia di banana?
A chiarirci le idee ci pensa il GDPR (acronimo di General Data Protection Regulation), ovvero il Regolamento generale sulla protezione dei dati nell’Unione Europea (scarica qui la versione in italiano).
Tale Regolamento è entrato in vigore il 25/05/2016, sostituendosi alla precedente Direttiva 95/46 EC. In quanto Regolamento, si tratta un atto legislativo vincolante che deve essere applicato in tutti i suoi elementi nell'intera Unione Europea. Dalla sua entrata in vigore le aziende e le organizzazioni (sia le europee, sia quelle extraeuropee che offrono beni e servizi ai cittadini europei) hanno tempo fino a due anni per mettersi in regola e conformarsi ai principi in relazione al trattamento dei dati dei cittadini comunitari.
Il termine ultimo per uniformarsi al Regolamento è dunque il prossimo 25/05. Se la tua azienda non ha ancora fatto nulla per adeguarvisi, e' bene che si attivi subito ed inizi il prima possibile a regolarizzarsi con le prescrizioni del GDPR, cercando di conformare i trattamenti dei dati più rilevanti e rischiosi all’interno della stessa.
Quali sono gli ambiti di azione del GDPR ed i diritti che tutela?
Il Regolamento incide pesantemente su una materia verso cui finora non c’erano state la necessaria attenzione e sensibilità: la protezione dei dati personali e la loro elaborazione e circolazione, che interessano le piccole e medie imprese come le grandi organizzazioni, rafforzando la salvaguardia dei dati stessi, tutelando il diritto ad essere informati su come i propri dati siano processati e gestiti, garantendo altresì il diritto all’oblio di chi non vuole più che i propri dati vengano trattati e ne esige la cancellazione.
Quali sono le mosse da fare per adeguarsi al GDPR?
- Raccogliere tutte le informazioni riguardanti l’organizzazione aziendale (e le eventuali società controllate, controllanti o collegate), trattasi della cd. Compliance, non in senso di checklist ma intesa come modello di gestione, che implica una maggiore responsabilizzazione del titolare del trattamento;
- Strutturare un progetto di adeguamento al GDPR (cd. Action plan);
- Ottenere tutte le informazioni riguardanti le attività svolte sinora per adeguarsi alla legislazione attuale (Codice Privacy);
- Creare un registro dei trattamenti (al quale sono esonerate le aziende al di sotto dei 250 dipendenti);
- Analizzare i settori di business in cui opera l’azienda, i paesi in cui agiscono i vari titolari e responsabili del trattamento (i primi sono definiti come le persone fisiche o giuridiche, le autorità pubbliche, i servizi o altri organismi che, singolarmente o insieme ad altri, determinano le finalità e i mezzi del trattamento di dati personali, mentre i secondi sono coloro che trattano dati personali per conto del titolare del trattamento), controllare e approfondire gli organigrammi aziendali, le certificazioni ottenute, le principali categorie di dati trattati, gli eventuali trattamenti terziarizzati e relative nomine;
- Schematizzare e mappare organizzazione, ruoli, persone, competenze, processi, documenti che vadano ad impattare sul trattamento dei dati, contratti con fornitori che trattino dati, nomine di responsabili e incaricati del trattamento - quest’ultima figura, presente nella legislazione nazionale (Codice della Privacy d.lgs. 196/2003), ma non richiamata dal Regolamento 679 del 2016, è la persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal responsabile del trattamento - , processi e procedure di gestione dei sistemi informativi, tecnologie e strumenti per la gestione della sicurezza informatica, sistemi di controllo;
- Automatizzare il più possibile la gestione degli aggiornamenti;
- Definire le politiche di sicurezza e di valutazione dei rischi (cd. Principio dell’accountability);
- Individuare e nominare un Data Protection Officer (DPO), il cui compito principale è quello di osservare, valutare e organizzare la gestione (oltre alla protezione) del trattamento dei dati personali all’interno di un’azienda, garantendo dunque la compliance al GDPR.
Quali sono i vantaggi del GDPR?
Il Regolamento, pur costringendo le aziende ad effettuare degli investimenti rilevanti da un punto di vista economico (come ad esempio per la criptazione dei dati, o per la cancellazione degli stessi una volta scaduti i termini previsti per la loro conservazione), comporterà un netto miglioramento nella governance dei dati, favorendo altresì l’immagine aziendale ed aumentando la soddisfazione dei clienti.
E se non si adempisse alle prescrizioni del GDPR, temporeggiando gli interventi in materia di privacy ritenendo che ci possano essere rinvii rispetto alla data di scadenza?
È vero che il legislatore italiano non ha ancora stabilito l’entità delle sanzioni, ma il Regolamento prevede dei massimali fino a 20 milioni di euro e sino al 4% del fatturato mondiale totale annuo dell’azienda, che possono rappresentare uno spauracchio non da poco (come lo sarebbero del resto la perdita dei dati, i rischi per la sicurezza e il conseguente danno all’immagine).
Insomma il consenso, non solo nelle relazioni sociali ma anche sul lavoro, è un tema fondamentale ed il GDPR lo innalza a diritto di libertà e ci fa esclamare a tutti: “Finché c’è privacy c’è speranza”.
TAGS: Credit Team Srl - Sede Brescia - Finanza Agevolata Brescia e Milano- Recupero Crediti Brescia
Credit Team Srl - Sede Milano - Finanza Agevolata Brescia e Milano- Recupero Crediti Milano
Autore:
GIANCARLO | DIREZIONE OPERATIVA RECUPERO CREDITI
Altri articoli dal nostro Blog
BANDO ISI INAIL 2023: PUBBLICATO IN GAZZETTA UFFICIALE
21/12/23
Approvato il disegno di legge sul Made in Italy
21/12/23
Dal 1° gennaio 2024 De Minimis a 300.000 €
15/12/23
Transizione 5.0: nuovi incentivi in arrivo?
28/08/23
Brevetti+, Disegni+ e Marchi+ 2023: 32 milioni per la proprietà intellettuale delle pmi italiane
26/07/23