Come dovranno comportarsi le PMI
con l’entrata in vigore del GDPR

Come abbiamo già accennato, il 25 Maggio 2018 entrerà in pieno vigore il Regolamento (UE) 2016/679, la nuova normativa europea in tema di trattamento e protezione dei dati personali (meglio conosciuto con l’acronimo inglese GDPR).

Tutti i titolari di trattamenti di dati personali dovranno quindi conoscere le nuove regole ed adeguarsi, verificando la conformità (compliance) dei propri trattamenti e non potranno più delegare al fornitore di servizi tutte le problematiche relative ai dati.

Secondo il Regolamento europeo sul trattamento dei dati personali, infatti, l’azienda come Titolare del trattamento dei dati personali ne risponde sempre e comunque e Titolare e Responsabile saranno considerati “complici” a eguale titolo.

Anche le piccole e piccolissime aziende, che effettuino trattamenti di dati personali a bassissimo impatto (per esempio agenzie di viaggio, lavanderie, ecc.) saranno coinvolte.

È importante sapere che il GDPR non prevede semplici adempimenti burocratici da rispettare, ma sostanza da implementare. Innanzitutto le aziende dovranno censire i dati personali di cui dispongono (quando e come sono stati ottenuti, per quali ragioni sono stati chiesti, a quale trattamento sono stati o saranno soggetti, chi opererà questo trattamento, se e come saranno condivisi). E poi le PMI dovranno rispettare, anche se in misura ridotta la cosiddetta “regola SIMP”:

Sapere: cioè avere chiari i principi del GDPR e la situazione della propria azienda (e dei propri trattamenti) rispetto ai requisiti del GDPR.
Intervenire: significa implementare le azioni necessarie, in relazione alla propria situazione: adeguare le informative sulla privacy, fare un minimo di formazione ai propri collaboratori e dipendenti sulle regole del GDPR e sulle procedure aziendali per essere conformi, etc…Saranno previsti degli obblighi scalari, ovvero si richiederà al Titolare uno sforzo proporzionato non solo all’impatto del suo trattamento, ma anche alle sue risorse.
Mantenere: il Regolamento impone di proteggere i dati trattati. Per cui, dopo essere intervenuti per adeguarsi alle nuove norme, i Titolari (anche i Piccoli) dovranno, fare in modo che le procedure vengano rispettate e che ogni novità aziendale sia studiata fin dall’inizio in conformità con il GDPR. Per esempio, ogni nuovo assunto dovrà essere subito messo a conoscenza delle regole da seguire e dotato degli strumenti per farlo.
Provare: Ogni Titolare di azienda, dovrà sempre essere in grado di documentare di aver seguito le suddette regole e di stare trattando i dati personali altrui conformemente al nuovo Regolamento. Potrebbe quindi non essere più sufficiente produrre solo pile di fogli precompilati di cui però non conosce il contenuto. Inoltre la dimostrazione di quasi tutti gli adempimenti potrà finalmente essere data in ogni modo, non necessariamente solo in forma cartacea.

Utilizzo di strumenti tecnologici

Potranno risultare quindi utili dei software di “gestione privacy”, che aiutino soprattutto i Piccoli Titolari ad adempiere, oltre che a gestire in modo semplice e proporzionato, i propri obblighi. Bisogna però assicurarsi che questi programmi rispettino la regola SIMP.

Le PMI impareranno ad autoregolarsi
Il GDPR infatti assegna al Titolare il compito di chiedersi se ha il diritto di acquisire e trattare questi dati, bilanciando i propri diritti con quelli della persona alla quale appartengono i dati.
Nel bilanciamento occorrerà considerare da una parte i rischi che l’interessato corre (per esempio in caso di divulgazione) dall’altra le misure di sicurezza prese dall’azienda per prevenire tali rischi. Nel caso del GDPR ci sono dei criteri da seguire e saranno le aziende a giudicare se sono nel giusto o meno con le conseguenti responsabilità legali.
Cosa succede se non c’è il consenso
Sarà proprio questo bilanciamento, a fare la differenza con il GDPR. Ovviamente, dal 25 maggio i consensi andranno redatti secondo precise formule (ragione per cui tutti i moduli cartacei e digitali andranno rifatti) e dovranno essere arricchiti di molte informazioni scritte in modo chiaro e preciso.
Sarà necessario lavorare anche sulla cookie policy. Ma non è detto che i dati raccolti in precedenza debbano essere cancellati o utilizzati solo dopo aver richiesto un esplicito consenso agli interessati. Sarà sufficiente porsi una semplice domanda:
l’interessato sarebbe sorpreso di sapere che il Titolare possiede e tratta questo o quel dato personale?”
Se la risposta è no: per esempio perché il dato rilasciato era funzionale all’esecuzione del servizio richiesto, allora non c’è nessun problema il consenso è implicito. Si potrà al limite avvertire l’interessato che l’azienda dispone di quei dati e intende utilizzarli in un certo modo per determinate ragioni.
Redazione di Contratti dettagliati
Una volta definiti i flussi dei dati personali, il diritto di utilizzarli e aggiornati i consensi, Titolari e Responsabili dovranno definire i loro rapporti sulla base di contratti molto dettagliati.
Il contratto è l’unico documento che permette davvero al Titolare di ridurre le sue responsabilità nel trattamento dati.
Il contratto potrà indicare nel dettaglio le misure di minimizzazione del rischio previste.
Ad esempio pseudonomizzazione, cancellazione dei dati inutili, date di scadenza automatiche dei dati e backup.
Anche l’importante e complesso capitolo della distribuzione di dati su cloud andrà ben chiarito in sede di contratto, così come andranno definiti gli accordi che prevedono la condivisione delle informazioni con terzi.
DPIA e formazione
Il GDPR non obbliga i Titolari di redigere una valutazione di impatto relativa a un singolo trattamento o a più trattamenti (DPIA).
La DPIA non dovrà necessariamente essere redatta esclusivamente da un consulente esperto, un DPO. Anzi per una piccola impresa il modo migliore per dimostrare l’adesione al GDPR è proprio redigere una mini-DPIA, ovvero un documento a uso interno che elenca dettagliatamente i flussi dei dati, le lavorazioni a cui sono soggetti, gli utilizzi che ne sono stati fatti o se ne intende fare, i rischi per la privacy dell’interessato e le misure messe in atto per minimizzarli, aggiungendo magari la modulistica relativa a ogni interazione con persone fisiche.
Un documento di questo tipo poi diventerà indispensabile per effettuare la formazione del personale che a qualunque titolo interviene nel trattamento dati.