La tua azienda è veramente GDPR compliant?
Si sente spesso parlare, specie in riferimento a un’azienda, della sua capacità (o meno) di essere GDPR compliant. Ma cosa significa, esattamente? Ebbene, con questo termine anglosassone ci si riferisce alla conformità dell’azienda al Regolamento europeo per la protezione dei dati (GDPR, appunto), la quale deve essere in grado di rispettarne i princìpi e di adottare procedure, su tutta la filiera, atte ad abbassare il più possibile il rischio sui dati trattati.
Ma come si fa a raggiungere tali standard? E, soprattutto, com’è possibile capire se la tua azienda è veramente GDPR compliant? In questo articolo analizziamo ogni risposta alle domande poste, aprendo infine un focus sull’importanza della conformità al GDPR nell’epoca che stiamo vivendo, segnata, cioè, dalla pandemia e dai problemi (in tema di protezione dei dati) che essa ha portato con sé.
Cosa serve a un’azienda per essere GDPR compliant
Un’azienda (ossia il titolare del trattamento) deve, per essere GDPR compliant, assicurarsi di trattare i dati, anche sensibili, dei collaboratori, a patto di specificarne nell’informativa tempi, modi e finalità. Come? Semplice: comunicando ai diretti interessati che sta raccogliendo o gestendo qualsiasi informazione in fatto di dati personali secondo le caratteristiche che il Regolamento prevede. E, una volta raccolti tali dati, assicurandosi che questi siano archiviati in modo sicuro, adottando cioè misure di sicurezza fisiche, logiche e organizzative.
Perché ciò accada in maniera consona è bene che il titolare del trattamento, i suoi addetti e i responsabili esterni siano adeguatamente formati e informati su cosa prevede il Regolamento: temi quali la differenza tra dati personali e dati sensibili, DPO, Data Breach e molto altro ancora devono infatti essere padroneggiati al meglio non solo per approfondirli ma anche per sapere come gestirli nella realtà aziendale.
Il tema della compliance in era Covid
Un discorso di questo tipo vale a maggior ragione nel periodo di mutate necessità che da oltre un anno e mezzo stiamo vivendo: il Covid, infatti, ha moltiplicato le necessità legate al trattamenti di dati personali, specie sanitari, e le aziende si devono far trovare preparate a ogni nuova eventualità che si presenti. Anche se, come ha recentemente fatto notare Ansa, “la necessità di gestire il trattamento dei dati, in una situazione emergenziale come quella del Covid, ha fatto luce sulle inefficienze che molte aziende hanno in termini di compliance. Diverse imprese si sono ritrovate a gestire questioni relative al trattamento dei dati personali con strumenti non adeguati al GDPR, il cui utilizzo, non di rado, può condurre a possibili violazioni della norma”.
Per evitare tale situazione, le imprese possono trovare informazioni e linee guida esaustive e rassicuranti in tre testi normativi: il Testo Unico in materia di salute e sicurezza nei luoghi di lavoro, i decreti del Presidente del Consiglio e il Protocollo condiviso di aggiornamento per il contrasto della diffusione del Covid-19 negli ambienti di lavoro. A questi si aggiunge, ovviamente, ancora una volta, il GDPR (il Regolamento europeo sulla protezione dei dati personali), che fissa i principi da rispettare e indica esattamente che cosa fare. Ricordiamo, infine, che quando si parla di questioni inerenti all’emergenza sanitaria, è buona norma fare una DPIA, ossia la valutazione d’impatto sulla protezione dei dati.