“Se un documento è riservato, verrà sicuramente dimenticato nella fotocopiatrice”. (Arthur Bloch)

Sono passati oramai cinque anni da quando è entrato in vigore il regolamento europeo sulla protezione dei dati GDPR; vale quindi la pena fare un rapido riepilogo di cosa preveda e quali siano gli adempimenti principali da seguire.

Ovviamente nessun intento di esaustività, si vuole solo richiamare l’attenzione su alcuni degli accorgimenti da seguire per rispettare a pieno le regole sulla privacy.

In primis, quando parliamo di privacy dei dati, ci riferiamo unicamente a dati personali di persone fisiche; quelli che sono invece dati aziendali eventualmente rientreranno nei concetti di riservatezza o segretezza ma non fanno parte della normativa GDPR.

Altro appunto è che dalla normativa sono escluse le raccolte dati nell’ambito personale/domestico (sono ad esempio esclusi i dati degli amici sulla rubrica del cellulare personale).

Ogni azienda deve progettare fin dall’inizio come gestirà i dati personali ricevuti durante l’attività aziendale, si tratta di un “sistema privacy” pensato e strutturato in modo sistematico e continuativo (privacy by design e by default).

Questo significa che ci si deve chiedere sempre quali dati personali si hanno in azienda, come vengono raccolti, come vengono utilizzati e conservati, dove si trovano, chi ne ha accesso, a chi vengono divulgati, come vengono cancellati.

Non basta, bisogna anche verificare se la raccolta è stata fatta con il consenso informato dei soggetti intestatari dei dati e se la motivazione per cui sono stati raccolti è valida e coerente con gli interessi aziendali.

Attenzione anche alla tipologia dei dati di cui si è in possesso, infatti devono essere il “minimo necessario”, è molto pericoloso conservare dati inutili alle proprie esigenze (la copia di una carta d’identità scaduta non va più conservata…).

Un piccolo esempio, il cellulare aziendale che contiene i numeri di telefono, i messaggi, gli indirizzi di clienti, fornitori, dipendenti, potenziali clienti; DEVE essere custodito con estrema attenzione; la sua perdita, infatti, costituirebbe un data breach con obbligo di comunicazione al garante della privacy entro 72 ore della violazione di dati personali.

Un altro esempio, i curriculum che si ricevono ed i dati raccolti nei colloqui per una possibile assunzione; le informazioni che si ricevono andrebbero prima di tutto “consentite” dal diretto interessato, il quale ha diritto di conoscere in modo semplice e comprensibile, la loro genesi all’interno dell’azienda.

Ovviamente non si può concludere il post senza citare le sanzioni, il Garante della privacy può infatti arrivare a staccare sanzioni pecuniarie fino a 20 milioni di euro o fino al 4% del fatturato dell’organizzazione.

Quindi, sedetevi a tavolino, valutate attentamente quali dati avete in azienda ed iniziate un percorso di corretta gestione degli stessi.

L’argomento è stato qui trattato volutamente in modo sintetico e semplificato ad uso esclusivo dei clienti dello studio, di conseguenza, non costituisce un parere giuridico né può in alcun modo considerarsi come sostitutivo di una consulenza specifica.

---