GDPR: cosa devono fare le aziende per adeguarsi?
Sempre più spesso ci si chiede, in tema di GDPR, cosa devono fare le aziende non solo per adeguarsi ma anche per garantire una corretta applicazione della legislazione, permettendo così un uso corretto dei dati aziendali e prevenendo anche l’insorgere di possibili sanzioni. Dallo scorso 25 maggio 2018, infatti, è entrato in vigore il cosiddetto GDPR, ossia il nuovo Regolamento Europeo relativo alla protezione dei dati personali: si tratta di un’emanazione diretta del diritto europeo che ha effetti immediati in tutti gli Stati membri. Ciò significa che tutti i soggetti giuridici che, all’interno del territorio dell’Unione Europea, trattano dati personali (e tra questi ci sono anche le aziende) devono rispettare il GDPR, adeguando il vecchio Codice Privacy al nuovo quadro normativo europeo.
E poiché nessuno è esente bisogna sapere in tema di GDPR cosa devono fare le aziende per adeguarsi. In questo articolo vediamo insieme, passo per passo, quali sono i vincoli come le aziende possono fare fronte per rimanere in regola, oltre che per mantenere un atteggiamento corretto verso clienti, dipendenti e stakeholder. Iniziamo!
Conoscere i principi del GDPR
Più che una necessità di legge è un’attività propedeutica che tutte le aziende devono compiere per conoscere la materia e per sapere entro quali limiti possono (o devono) operare. Per esempio, le aziende devono sapere che occorre trattare i dati personali nel rispetto dei principi espressi dal GDPR, quali quello di liceità, correttezza e trasparenza, di limitazione della finalità, della minimizzazione dei dati, di esattezza, della limitazione della conservazione, di integrità e riservatezza. Possono, in alcuni casi, sembrare delle banalità che, tuttavia, non sono, in quanto danno delle linee guida molto precise che le aziende devono seguire per operare in maniera corretta e onesta.
Nominare un DPO, responsabile della protezione dei dati personali
Si tratta di un adempimento a cui sottostare nei casi in cui il GDPR lo richiede. Il DPO è un soggetto, dipendente o consulente esterno, che coadiuva l’azienda nella gestione dei dati personali: viene solitamente nominato nelle aziende più grandi, ma può anche accadere che pure una piccola azienda, per la natura dei trattamenti dei dati posti in essere (quelli che prima venivano chiamati dati sensibili, come l’origine razziale, l’etnia, l’orientamento sessuale, la fede religiosa, l’affiliazione sindacale o dati relativi a condanne penali e a reati) sia chiamata a nominarlo.
Consegnare l’informativa privacy a tutti gli interessati
Si tratta della più importante obbligazione dell’azienda quando compie un trattamento di dati. Gli interessati in questione sono i dipendenti e i collaboratori, i consulenti, gli utenti che navigano sul sito web dell’azienda (qui, poi, oltre all’Informativa privacy sull’uso dei dati di navigazione è necessario esplicitare anche quella sui cookies), i fornitori di beni e/o servizi e i soggetti che potrebbero essere ripresi dalla videocamera del circuito di videosorveglianza.
Tuttavia, gli adempimenti per le aziende non si fermano qui e variano anche a seconda della grandezza. Se vuoi saperne di più, o ricevere una consulenza per adeguarti, contattaci: saremo felici di rispondere alle tue necessità.