Il Regolamento Generale sulla Protezione dei Dati (meglio noto come GDPR) ha imposto alle imprese di ripensare il proprio modo di rapportarsi con la tutela della privacy. Il cambio si è reso necessario con l’affiorare di una diversa sensibilità generale nei confronti della privacy. A più di due anni dall’entrata in vigore della nuova normativa, molte imprese trovano però ancora difficile conformarsi alle sue disposizioni. Questo è particolarmente vero nelle start-up e piccole imprese dove spesso mancano le figure professionali necessarie per far fronte agli aspetti legali, tecnologici ed organizzativi richiesti dal GDPR.
In questa nuova QuickGuide vediamo alcuni accorgimenti che start-up e piccole imprese possono adottare per assicurare la propria conformità al GDPR.
Consapevolezza sui temi della privacy
Affinché la conformità al GDPR sia reale e non presente solamente nelle policy è richiesto il contributo effettivo di tutti i membri dell’organizzazione. Per tale motivo, l’educazione dei dipendenti sui temi della privacy riveste un ruolo fondamentale all’interno della più ampia strategia di conformità aziendale. Questo non significa chiedere ai dipendenti un livello di preparazione simile a quello di un avvocato specializzato in diritto della privacy. Si dovranno però conoscere gli obblighi imposti dal GDPR, i diritti dei soggetti interessati e le policy aziendali in tema di trattamento e sicurezza dei dati.
Esistono vari metodi per generare consapevolezza tra i dipendenti. Uno di questi riguarda la partecipazione a corsi che potranno essere anche focalizzati sulle mansioni assegnate ai vari dipendenti. Per assicurare un livello di preparazione continuo è consigliabile che i corsi siano previsti con cadenza almeno annuale.
I dipendenti dovranno inoltre essere messi al corrente delle policy aziendali che andranno rese facilmente accessibili anche mediante la condivisione di pagine web aziendali appositamente dedicate. Potranno inoltre essere condivisi materiali informativi e di aggiornamento testando la comprensione dei temi proposti mediante questionari.
La scelta del responsabile del trattamento
Le imprese decidono sempre più spesso di esternalizzare a professionisti o società terze alcune attività che possono riguardare ad esempio la raccolta, l’archiviazione o la consultazione dei dati personali. La preferenza di un soggetto rispetto ad un altro non è senza conseguenze e non può essere fatta per ragioni di sola convenienza economica.
Il GDPR infatti impone al titolare del trattamento determinati obblighi per quello che riguarda la scelta e l’instaurazione del rapporto con quelli che vengono chiamati responsabili del trattamento. Secondo la normativa sulla privacy il responsabile del trattamento è:
la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
A titolo di esempio, può essere considerato responsabile del trattamento il professionista o la società che gestisce:
le incombenze di natura giuridica, previdenziale o fiscale
i sistemi informatici
il marketing
L’esternalizzazione di queste ed altre attività determina un aumento dei rischi di natura giuridica e di reputazione legati ad un non corretto trattamento dei dati da parte del responsabile del trattamento. Per limitare la propria responsabilità in caso di violazioni imputabili al responsabile del trattamento, si dovrà ricorrere solo a soggetti capaci di garantire il rispetto della normativa sulla privacy e la tutela dei diritti degli interessati.
L’adesione del responsabile del trattamento a un codice di condotta o meccanismo di certificazione può essere sufficiente a dimostrare la conformità dello stesso alle garanzie richieste dal regolamento.
Contratto con il responsabile del trattamento
Una questione che troppo spesso passa in secondo piano quando il responsabile del trattamento è una piccola impresa riguarda il contratto che disciplina il rapporto tra titolare e responsabile.
Secondo il regolamento (art. 28 GDPR) titolare e responsabile dovranno concludere un contratto (o altro atto giuridico) che stabilisca le modalità con cui il responsabile deve eseguire il trattamento dei dati. Il contratto riveste particolare importanza perché conterrà un’indicazione puntuale degli obblighi e responsabilità comuni.
Attenzione andrà posta nella stesura del contratto, anche mediante l’assistenza di un avvocato, affinché il suo contenuto rifletta quanto richiesto dal GDPR.
Nello specifico, il regolamento impone che siano indicati:
la materia disciplinata e la durata del trattamento
la natura e la finalità del trattamento
il tipo di dati personali e le categorie di interessati
i diritti e doveri del titolare del trattamento
Il responsabile del trattamento dovrà inoltre agire solamente dietro indicazioni scritte da parte del titolare assicurando che chi effettua il trattamento si sia impegnato o sottoposto a obbligo legale di riservatezza.
Qualora non fosse possibile influire sul contenuto del contratto, come spesso accade quando questo è predisposto dal responsabile del trattamento, sarà necessario visionarne attentamente il contenuto ed eventualmente astenersi dal concluderlo.