Quali obblighi GDPR per la piccola impresa?

Risposta di

Barbara Weisz

scritto il

Rino chiede

Micro impresa con dipendenti, i cui dati sono gestiti da studio paghe esterno, trattiamo i dati di clienti e fornitori. Abbiamo un gestionale interno dove elaboriamo tutta la contabilità ordinaria, ogni postazione ha la propria password archiviata con il documento programmatico a suo tempo elaborato, una ditta esterna ci segue in caso di problemi al gestionale (ogni pc è dotato di sistemi non collegati al gestionale, mail, programmi vari) e il commercialista esterno elabora il bilancio annuale.

Quali obblighi vigono per tali situazioni, per altro molto presenti sul mercato italiano?

Barbara Weisz risponde

GDPR: informativa e consenso

Non credo che in un caso come quello descritto il GDPR imponga nuovi obblighi: restano gli obblighi in materia di informativa e consenso dell’interessato per ogni azione che implica il trattamento dei dati personali.

Casi di esclusione

Tenga però presente che continua a valere la regola per cui il consenso non è necessario nel momento in cui il trattamento dei dati avviene esclusivamente nell’ambito di esecuzione di un contratto. Quindi, nel caso dei dipendenti, o dei fornitori, se (come mi pare di capire) trattate i dati solo per adempiere a quanto strettamente previsto dal contratto, non mi pare ci sia bisogno di ottenere un ulteriore consenso.

Sicurezza dei dati

Certo, vale per tutti la necessità di assicurare la sicurezza dei dati. Il fatto che i singoli pc non siano in rete con il gestionale, o che ci siano delle semplici password a protezione di ogni postazione (una misura corretta) può non essere sufficiente a garantire la sicurezza dei dati. Per esempio, potrebbe non essere un sistema sicuro per garantire la sicurezza contro la perdita dei dati.

Non ci sono in questo senso dei criteri minimi da rispettare, il criterio di base è quello dell’accountability, per cui è il titolare del trattamento (l’azienda) che deve stabilire se le misure messe in atto siano sufficienti a garantire il rispetto di tutti gli obblighi di privacy previsti dal nuovo regolamento.