Diventano più stringenti gli obblighi delle imprese nel trattamento dei dati aziendali, con l’entrata in vigore il prossimo 25 maggio 2018 del nuovo Regolamento europeo sulla Privacy. Secondo il dettato del GDPR, l’azienda deve avere un responsabile della protezione dei dati, il quale ha una serie obblighi informativi nei confronti dell’interessato (ad esempio, il dipendente o il cliente), che riguardano anche gli standard di sicurezza e i rischi che derivano dall’eventuale diffusione dei dati (dovuta a errori, malfunzionamenti, forti e via dicendo). Il riferimento normativo è la direttiva UE 679/2016.
=> Adempimenti GDPR, PMI senza conformità
Le PMI sotto i 250 dipendenti hanno in realtà meno obblighi rispetto alle grandi imprese, alle pubbliche amministrazioni o ad altri enti: non devono tenere il registro delle attività di trattamento dei dati personali (che contiene informazioni dettagliate sulle policy aziendali in materia di privacy, sulle procedure e sugli standard di sicurezza adottati).
Devono però rispettare le stesse regole sulla protezione dei dati, che devono prevedere:
- pseudonimizzazione e cifratura dei dati;
- capacità di assicurare su base permanente riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento;
- capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
E’ necessario fare particolare attenzione ai rischi presentati dal trattamento che derivano dalla distruzione, perdita, modifica, divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. Nel caso in cui si verifichi una fuga di dati, di qualsiasi genere (anche la perdita di una chiavetta o dello smartphone che li contiene), l’azienda deve informare “senza ingiustificato ritardo” sia l’autorità Garante della Privacy sia l’interessato.
Senza giustificato ritardo significa entro 72 ore dal momento in cui viene a conoscenza del fatto (articolo 33). Nel caso in cui queste comunicazioni obbligatorie vengano effettuate al Garante oltre le 72 ore, bisogna giustificare il ritardo. L’unico caso in cui è possibile non effettuare queste comunicazioni, è quello in cui l’impresa ritenga improbabile che la perdita o la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. La comunicazione al Garante contiene: natura della violazione e, se possibile, categorie e numeri degli interessati, nome e dati di contatto del responsabile della protezione dei dati, descrizione delle probabili conseguenze, misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e attenuarne i possibili effetti negativi. Queste informazioni possono anche essere comunicate in tempi diversi, cioè successivamente alla prima comunicazione che deve tempestivamente arrivare entro le 72 ore.
La comunicazione all’interessato descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni previste nei confronti del Garante Privacy. La comunicazione all’interessato non è obbligatoria nei seguenti casi:
- il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura: in pratica, se la violazione non mette a repentaglio la privacy dell’interessato grazie alle misure di sicurezza, quali la cifratura, che erano già state applicate ai dati;
- il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
- la comunicazione richiederebbe sforzi sproporzionati: in questo caso, si procede a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
=> Dati aziendali, criticità e soluzioni
Ci sono poi una serie di misure specifiche che riguardano i gruppi imprenditoriali (cioè le partecipate, le controllate e via dicendo), che riguardano anche la trasmissione o la disponibilità dei dati in diversi paesi. Il gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, che però deve essere facilmente raggiungibile da ciascuno stabilimento.
UE
