gdpr

Trattamento dati personali in azienda: cinque punti per una compliance perfetta

Ogni trattamento del dato personale deve presupporre un quesito, ancor prima che il trattamento sia stato messo in atto. Pensare alle modalità di trattamento ancor prima di iniziarlo. Analizziamo i 5 punti da cui partire

Pubblicato il 28 Apr 2023

Alessia Artibani

avvocato, Inveo Advisory

privacy

Ho fornito una corretta informativa? Sono legittimato a trattare alcuni dati personali? Lo faccio correttamente? Il mio sito web è a norma?

Tutte le organizzazioni arrivano a porsi prima o poi domande relative alla privacy e al trattamento dei dati personali dei clienti/utenti. Tuttavia, spesso tali questioni vengono sollevate tardivamente e non con la dovuta tempestività. Ogni trattamento del dato personale deve presupporre un quesito, ancor prima che il trattamento sia stato messo in atto. Pensare alle modalità di trattamento ancor prima di iniziarlo.

Gdpr e dati sanitari: tutti i nodi della titolarità dei trattamenti

Una delle domande che ogni area manageriale si pone con sempre maggiore frequenza è se la propria azienda sia adeguata ai sensi del GDPR e della normativa nazionale in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali.

Questa analisi richiede una verifica attenta e specializzata, ma ogni manager può iniziare a muovere i passi autonomamente esplorando la realtà aziendale partendo da 5 quesiti specifici. Scopriamo quali sono.

Verifica della figura del titolare

In primis ciò che nelle piccole, medie o grandi aziende è fondamentale, è individuare la figura del titolare del trattamento: ossia la persona fisica o giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo che determina le finalità e i mezzi del trattamento. La domanda da porsi è: chi assume le decisioni? Esiste un consiglio di amministrazione che decide in ambito privacy, oppure se ne occupa un amministratore unico, oppure un membro del consiglio con poteri straordinari e ordinari in materia di privacy? Vi è traccia delle decisioni assunte dal Titolare, ad esempio, con riguardo all’impianto privacy presente in azienda, alle valutazioni dei rischi e alla eventuale valutazione d’impatto? Iniziare a capire se la titolarità dei trattamenti sia chiara, e se i dipendenti e collaboratori abbiano una corretta percezione della titolarità, e quindi su chi ricade la “responsabilità”, è sicuramente il primo step.

Verifica esistenza registro dei trattamenti

Identificato il Titolare del trattamento e la percezione che collaboratori, dipendenti e interessati hanno nei suoi confronti, è necessario verificare l’esistenza di un registro dei trattamenti ex art 30 GDPR. In tale ipotesi, pur se il Regolamento non impone la redazione di un registro dei trattamenti, per garantire il rispetto dei principi normativi, è assolutamente necessario redigere un registro che contenga almeno le informazioni previste dall’art. 30 GDPR, ma anche – consigliabile – una serie di ulteriori ma essenziali informazioni utili per i collegamenti all’interno dell’impianto privacy. La necessità di un registro dei trattamenti si riscontra immediatamente in ogni adempimento o attività del titolare; in particolare per poter effettuare la valutazione dei rischi, così come la valutazione di impatto, o anche per formare ed istruire il personale, è necessario mappare i trattamenti e quindi avere una precisa fotografia dei trattamenti effettuati nell’azienda.

Verifica misure tecniche ed organizzative

Partendo quindi dal registro dei trattamenti – ricordiamo, basilare ai fini della consapevolezza dei trattamenti effettuati all’interno dell’azienda, così come per la valutazione dei rischi – è necessario verificare se al suo interno sia stata inserita una descrizione generale delle misure di sicurezza tecniche e organizzative, come previsto dall’articolo 32, paragrafo 1, lett. f).

Come noto, l’impianto privacy di un’azienda richiede l’adozione di misure tecniche ed organizzative “adeguate”; ma cosa si intende con tale terminologia? Tutte le azioni e le iniziative predisposte dal Titolare sia relative ad operazioni che rendono adeguatamente sicuri i dati personali trattati, sia le procedure che permettono di rispettare i principi del GDPR.

A titolo esemplificativo ma non esaustivo annoveriamo tra le misure tecniche ed organizzative l’installazione di antivirus sui pc aziendali, i firewall, la procedura di back up periodico in un server esterno o in un cloud, il piano di formazione dei dipendenti, le procedure di data breach, quella di gestione dei documenti cartacei contenenti dati personali, etc.

Con il termine adeguate il GDPR demanda la discrezionalità al titolare del trattamento che effettua una sua valutazione rispetto alla realtà fattuale dell’azienda e ne stabilisce l’adeguatezza. È necessario, però, che tale valutazione sia documentata e dimostrabile sulla base di parametri oggettivi e determinati.

Verifica formazione dipendenti

Tra le misure organizzative che l’azienda ha l’onere di implementare, una delle più importanti è certamente il piano di formazione dei dipendenti, quale istruzione e formazione del personale che tratta i dati personali. Infatti, una corretta sensibilizzazione dei dipendenti e collaboratori, contestualizzata nella realtà aziendale, permette di estendere l’impegno profuso nella creazione di un impianto privacy da parte del titolare del trattamento a tutti coloro che operano con i dati personali. Invero, qualora tutto l’impianto fosse correttamente impostato, ma poi sul piano operativo mancasse consapevolezza e attenzione da parte del personale, si rischierebbero data breach, o in generale di esporre i dati a rischi.

Verifica nomine

L’ultimo degli step “preliminari” per capire se la propria azienda sia adeguata o necessiti di un’implementazione è certamente la verifica dell’esistenza e del contenuto delle nomine sottoposte ai responsabili del trattamento ex art 28 GDPR, eventualmente anche con mansioni di Amministratori di Sistema. Infatti, quando un trattamento viene esternalizzato, il trattamento dei dati personali che il responsabile effettua avviene per conto del titolare; l’incarico da parte del Titolare, quindi, richiede altresì che lo stesso fornisca una serie di istruzioni, ed indicazioni rispetto al trattamento dato in outsourcing e il responsabile dovrà, a sua volta, fornire garanzie ed impegnarsi al rispetto di obblighi. In aggiunta alle nomine ex art 28 GDPR, al fine di dimostrare l’accountability, la distribuzione delle attività di trattamento da parte del Titolare, occorre verificare se vi siano le lettere di autorizzazione ex art 29 GDPR destinate al personale dipendente, affinché sia identificata l’area di operatività, il tipo di dati trattati e vengano fornite le istruzioni basilari ed essenziali per le operazioni di trattamento, che andranno poi dettagliate nelle procedure e nei corsi di formazione.

Conclusioni

Ovviamente quanto sopra deve passare sempre sotto la lente preliminare della mappatura dei trattamenti svolti da parte del Titolare, nonché delle attività di verifica del rischio (redazione di un DVR, DPIA etc.) e di monitoraggio delle procedure, dei presidi di sicurezza, anche alla luce del confronto con la funzione del DPO ove presente.

Questi sono i primi cinque passi per dimostrare la responsabilizzazione nei confronti di coloro dei quali stiamo trattando i dati. Come verificare che questi passi siano stati effettuati in maniera corretta? Attraverso il processo di audit, per verificare l’impianto privacy implementato, attraverso un’analisi dettagliata delle politiche, delle procedure, dei processi e delle attività dell’organizzazione, al fine di identificare eventuali lacune nella gestione dei dati personali ed attuare le azioni correttive da adottare.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2