GDRP: come prepararsi

 

Dal 25 maggio 2018, il GDPR (Regolamento UE 2016/679), come ormai noto a tutte le imprese, modificherà notevolmente la normativa in tema di privacy. Le sanzioni applicabili sono ingenti (fino al 4% del fatturato): tutte le imprese, anche piccole, devono verificare di essersi pienamente adeguate e, qualora non lo abbiano già fatto, devono correre quanto prima ai ripari.
Quali sono le principali novità del GDPR? In estrema sintesi, il nuovo Regolamento – oltre ad introdurre un cambio di approccio nella protezione dei dati personali e ad ampliare i diritti riconosciuti agli interessati – accresce i contenuti delle informative privacy (che dovranno essere però sempre facilmente comprensibili), fissa nuovi requisiti per il consenso al trattamento, introduce stringenti previsioni in materia di violazione dei dati personali, ed impone, in alcune circostanze, la nomina di un data protection officer (figura che verifica il rispetto della normativa per conto del titolare del trattamento e gli presta consulenza), la redazione di un registro delle attività di trattamento e lo svolgimento, per particolari trattamenti ad alto rischio, di una valutazione di impatto sulla protezione dei dati personali.
Quali sono quindi gli adempimenti più problematici per le differenti tipologie di imprese? Ogni caso è ovviamente diverso dagli altri. Possiamo però esaminare quattro casi emblematici.
 

Portale web con utenti iscritti

Tra quelli considerati, si tratta del soggetto che più deve prestare attenzione al GDPR. Alla luce dell’attività svolta, è assolutamente opportuno redigere un registro delle attività di trattamento, dopo aver censito in modo esaustivo tutti i trattamenti effettuati. Ciò anche nel caso in cui l’impresa avesse un numero di dipendenti inferiore a 250, soglia sotto la quale la redazione del registro non è sempre obbligatoria.
È imprescindibile, inoltre, un’attenta redazione delle informative (sia per la navigazione sia per l’iscrizione al portale), assicurandosi che tengano conto di tutti i trattamenti effettuati e contengano tutte le informazioni richieste, incluse le più problematiche, come ad esempio il periodo previsto di conservazione dei dati (novità assoluta del GDPR).
Nel caso in cui siano svolti trattamenti a rischio (ad esempio, profilazione degli utenti per l’invio di pubblicità personalizzate) sarà necessario effettuare, prima del trattamento, una valutazione di impatto sulla protezione dei dati.
Da ultimo, posto l’elevato rischio di data breach (ad esempio, tramite attacchi hacker al portale), dovrà essere elaborata una apposita procedura aziendale, per evitare di trovarsi impreparati in una simile ipotesi.
 

Studio professionale

Ovviamente, l’impatto del GDPR varia a seconda dei dati personali trattati: sarà maggiore qualora – come nel caso di uno studio medico – siano trattati frequentemente dati sensibili.
A prescindere dall’attività svolta, è però sempre consigliabile redigere il registro delle attività di trattamento – sempre utile in caso di ispezioni – tenendo conto di tutte le attività svolte, anche di quelle che a prima vista potrebbero sfuggire: ad esempio, un servizio di backup in cloud potrebbe comportare un trasferimento dei dati fuori dall’UE, la cui ammissibilità deve essere valutata molto attentamente.
Le informative dovranno essere sempre chiare e complete, differenziandole ovviamente per le diverse tipologie di interessati (clienti, dipendenti, collaboratori). Infine, se lo studio tratta dati personali per conto di un terzo (come un consulente del lavoro che elabora paghe per conto di una società cliente), dovrà essere formalmente nominato responsabile del trattamento, tramite un apposito contratto scritto.
 

Negozio

Per un negozio, se non svolge particolari attività che implicano il trattamento di dati sensibili (ad esempio una farmacia), il GDPR potrebbe avere un impatto piuttosto contenuto, anche se non trascurabile.
Le informativ per tutte le categorie di interessati dovranno essere comunque attentamente predisposte, soprattutto con riferimento ai dati di clienti eventualmente acquisiti in particolari circostanze (ad esempio per reclami). Anche in questo caso, la redazione di un registro dei trattamenti, per quanto in ipotesi semplificato, appare consigliabile. Ove il negozio vendesse beni anche online o avesse un proprio programma fedeltà, gli adempimenti saranno ovviamente più gravosi, avvicinandosi a quelli applicabili ad un portale web.
 

Artigiano

Se l’attività non ha caratteristiche peculiari, si tratta probabilmente del caso meno problematico: gli adempimenti applicabili saranno verosimilmente gli stessi che gravano su un negozio che non tratta in modo sistematico dati dei clienti.