Com’è noto, dal maggio dello scorso anno, è entrato in vigore in tutta Europa il nuovo GDPR sulla privacy, ai sensi del Regolamento UE 2016/679. Vi ricordiamo che il legislatore europeo ha concesso un po’ di tempo agli operatori per provvedere in merito, ma oggi è pienamente in vigore anche in termini sanzionatori.
Le piccole imprese, così come le grandi, ma anche i professionisti, devono fare innanzitutto una valutazione dei rischi per la tutela dei dati personali derivanti dalla propria attività. Questo, per la verità, non è cambiato rispetto alla “vecchia” normativa nazionale sulla privacy. . Chiaramente la dimensione contenuta dell'azienda rende meno impegnativo tale lavoro iniziale, ma dovranno comunque essere analizzati i vari processi aziendali, i flussi di dati personali, individuati i trattamenti e i soggetti esterni ed interni coinvolti, ecc.
Definita la situazione, vi deve essere una verifica di conformità alla normativa e alle disposizioni vigenti, primo fra tutti il nuovo Regolamento UE n. 2016/679 - GDPR - ma anche alle altre normative applicabili (es. provvedimenti generali e particolari del Garante, codici di autodisciplina, giurisprudenza, orientamento degli Organi di Vigilanza, indicazioni delle Autorità internazionali, ecc.), di tutti i trattamenti effettuati, delle relative finalità, modalità, e delle misure stabilite ed operative di sicurezza effettivamente applicate.
Può darsi che in questa fase di verifica emergano situazioni che necessitano di adeguamento e/o ottimizzazione, per una miglior tutela degli interessi aziendali e/o dei terzi interessati, e per il rispetto delle normative e disposizioni vigenti in materia.
Chiaramente gli adempimenti necessari variano molto in funzione delle diverse attività svolte. Il nuovo GDPR distingue le aziende non solo in relazione alla loro attività ma anche per la dimensione, esentando le aziende più piccole da una serie di obblighi, salvo casi del tutto particolari, ad esempio il registro dei trattamenti, la valutazione di impatto, e la nomina di un DPO, cioè Data Protection Officer nominato all’interno o all’esterno dell’impresa.
Degni di particolare attenzione dovranno essere i trattamenti effettuati, direttamente o tramite aziende terze, mediante strumenti informatici, siti web, mail, ecc. a fini commerciali e di marketing, come pure i trattamenti di dati relativi ai lavoratori e/o del pubblico (es. controllo accessi, videosorveglianza, conservazione e protezione dei dati ecc.).
Del lavoro svolto dovrà essere ovviamente tenuta adeguata documentazione, che andrà periodicamente verificata ed aggiornata; ciò renderà possibile dimostrare di aver operato nel rispetto della Legge, in caso di controlli.
Vi suggeriamo pertanto di verificare lo stato dei vostri adempimenti, considerando che alcuni controlli degli organi preposti sono già stati avviati.