Da qualche mese mi capita di leggere notizie di sanzioni applicate per mancato rispetto delle norme sulla Privacy. Io, che ho una piccola azienda ed ho fatto la procedura per adeguarmi al GDPR, vorrei sapere in concreto se devo fare altro e cosa rischio.
Risposta a cura di Idea Services
(per approfondimenti: esperto.risponde@ideaservices.eu)
Per evitare sanzioni, ai sensi del GDPR, è necessario adottare tutte le misure di protezione dei dati previste dalla normativa.
Ovviamente ogni realtà aziendale o studio professionale dovrà “modellare” le direttive sul proprio profilo di business.
Ecco alcuni esempi di quel che è necessario fare per adeguarsi:
- informare in modo chiaro e semplice clienti, dipendenti e altri interlocutori di come trattate i loro dati: presentarsi quando si richiedono i dati e spiegare perché si trattano, per quanto tempo verranno conservati e a chi devono essere comunicati;
- chiedere in modo esplicito il consenso delle persone di cui raccogliete i dati; in caso di minori, verificate il limite di età per chiedere il consenso dei genitori;
- assicuratevi di poter rispondere alle richieste degli interessati: il GDPR attribuisce a tutte le persone il diritto di sapere chi e perché tratta i loro dati, di modificarli, di cancellarli, di opporsi al marketing diretto e alla profilazione, oltre che il diritto di trasferire i propri dati ad un’altra azienda;
- in caso di violazioni di dati o data breach dovrete darne comunicazione entro 72 ore all’Autorità di controllo;
- nel caso in cui intendiate affidare operazioni di trattamento a fornitori o altri soggetti esterni, dovrete assicurarvi di ricorrere solamente a responsabili del trattamento che presentino sufficienti garanzie in merito alla conformità al Regolamento e alla tutela dei diritti degli interessati.
Il nuovo Regolamento prevede rilevanti sanzioni in caso di violazione, che comprendono multe fino a 20 milioni di Euro o – nel caso di imprese – fino al 4% del fatturato globale dell’esercizio precedente, se superiore.
L’adeguamento al GDPR non è una cosa statica ma un processo dinamico, le attività di audit debbono essere effettuate almeno annualmente per capire se ci sono state variazioni nell’organigramma societario, nelle mansioni dei dipendenti, nella tipologia dei dati trattati e nella loro modalità di trattamento.
Per approfondimenti sulle strategie tecnico-operative adottabili in azienda: info@ideaservices.eu
Hai una domanda che vorresti fare ai nostri esperti?
Chiedi all'espertoRisposta di Anna Fabi