Privacy

Home > Cosa facciamo > Privacy

Le aziende e la Privacy: tra obblighi ed opportunità

La necessità di emanare un Regolamento Europeo in materia di privacy nasce dalla continua evoluzione degli stessi concetti di privacy e protezione dei dati personali e quindi della relativa tutela dovuta principalmente alla diffusione del progresso tecnologico. L’adeguamento al Regolamento UE in materia di protezione dei dati personali c.d. General Data Protection Regulation o “GDPR” comporta diversi obblighi che le aziende devono rispettare. Tuttavia, l’adeguamento privacy genera numerosi vantaggi ed opportunità in quanto rappresenta quel valore aggiunto che contraddistingue l’azienda in termini di serietà, affidabilità e garanzia.

I benefici della compliance GDPR:

Avviare un processo di adeguamento al GDPR, non è solo obbligatorio, ma rappresenta un’occasione per le aziende di migliorare i propri servizi e processi produttivi. Attraverso alcune attività:

  • favorire la mitigazione nel risk management e la business continuity per la continuità operativa dell’azienda;
  • aggiornare le policy per accessi logici e fisici e migliorare le misure, le competenze e la cultura aziendale nell’ottica del principio innovativo di responsabilizzazione o “accountability” introdotto dal nuovo Regolamento UE;
  • garantire la reputazione aziendale o c.d. brand reputation;
  • rivedere la rete informatica aziendale in ottica GDPR per agire sui sistemi ormai obsoleti che rallentano l’operatività e la produttività aziendale
  • avvicinare l’azienda all’adozione di standard tecnologici e di processo IT richiesti dai fornitori e clienti più innovativi e avanzati.


Le novità in sintesi

Il GDPR introduce regole più chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l'esercizio di nuovi diritti, quale il “diritto alla portabilità dei dati” e il “diritto all’oblio”, stabilisce rigorosi criteri per il trasferimento dei dati verso Paesi Terzi ed Organizzazioni internazionali e disciplina i casi di violazione dei dati personali c.d. “data breach


Le figure del GDPR

  • Titolare del trattamento
  • Responsabile e sub-Responsabile del trattamento 
  • Responsabile della protezione dei dati personali – DPO - Data Protection Officer
  • Autorizzato al trattamento 


I rischi e le sanzioni conseguenti alla violazione dei dati personali

Il mancato adeguamento al GDPR e alla normativa nazionale in materia di protezione dei dati personali può comportare sanzioni, amministrative e penali, per l’azienda:

  • Sanzioni amministrative pecuniarie (fino al 4% del fatturato dell’azienda)
  • La limitazione o il divieto da parte dell’Autorità di controllo del trattamento dei dati personali, con la possibilità di bloccare le attività e, di conseguenza, il business aziendale
  • Notevoli perdite finanziarie all’azienda
  • Obbligo di risarcimento dei danni materiali e/o immateriali all’interessato che subisca un danno, da parte del titolare del trattamento o del responsabile del trattamento;
  • Responsabilità penale per l’illecito trattamento di dati, comunicazione e diffusione illecita di dati personali, acquisizione fraudolente di dati personali, falsità nelle dichiarazioni al Garante ed interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante.


Questioni sull’organizzazione dell’azienda. La mia azienda è in regola? Come perimetrare le attività aziendali?

  1. Ho predisposto la modulistica per procedere alla raccolta dei dati fornendo un’informativa completa, intellegibile, facilmente accessibile e utilizzando un linguaggio semplice e chiaro? 
  2. Ho organizzato la mia attività in modo da raccogliere e trattare solo ed esclusivamente i dati che sono necessari e utili per l’attività dell’azienda? Quali dati posso richiedere? 
  3. È stato raccolto e tracciato il consenso dell’interessato? Ci sono condizioni diverse dal consenso che legittimano il trattamento dei dati personali? 
  4. Ho nominato ed adeguatamente istruito i miei collaboratori/dipendenti ed ho formalizzato la gestione dei rapporti in outsourcing?
  5. Ho organizzato la conservazione dei documenti in modo da averne sempre la disponibilità ed in modo che i dati siano accessibili solo da personale autorizzato?
  6. Ho fatto la valutazione di impatto privacy o DPIA “data protection impact assessment”?
  7. Si deve/è opportuno nominare un DPO “Data Protection Officer”?
  8. Si deve tenere un registro dei trattamenti?
  9. Strumenti/procedimenti aziendali sono stati predisposti per notificare al Garante le violazioni dei dati?
  10. Ho previsto garanzie rigorose per il trasferimento dei dati al di fuori dell’Ue?