GDPR, una piccola impresa cosa deve fare per adeguarsi?

Le prescrizioni del GDPR riguardano i dati personali di cittadini UE. Deve quindi essere valutato se l’azienda tratta dati personali e in che misura. Ricordiamo ad esempio che alcune prescrizioni non si applicano a imprese con meno di 250 dipendenti, se non in caso di eccezioni ben specificate nel Regolamento.

Di contro, anche un piccolo studio professionale può essere chiamato ad adeguarsi ai dettami del regolamento qualora trattasse dati personali (clienti, lavoratori) in maniera sistematica, in relazione alla propria attività.  Allo stesso modo, una piccola azienda con pochi dipendenti che tuttavia gestisse grosse liste di utenti (es.: clienti e-commerce, iscritti a mailing list, ecc.) sarebbe tenuto a verificare la propria compliance.

Inoltre molte altre prescrizioni dipendono dal tipo di attività svolta e soprattutto dai dati con cui si entra in contatto. Inviare un modulo a tutti i clienti e i fornitori non è una misura richiesta dal GDPR (il consenso informato è una cosa diversa).

Esistono degli schemi da seguire in linea generale (ovviamente da personalizzare): la invitiamo a questo scopo a consultare i documenti forniti dal Garante Privacy – ad esempio in merito alla figura del responsabile del trattamento dati in azienda (DPO / RDP) – che sintetizzano le nuove regole ed in nostri approfondimenti sul tema, raccolte nel nostro speciale sul GDPR.

Consigliamo in primo luogo una valutazione del rischio di impatto del vostro trattamento dati in relazione alla loro tutela (DPIA): se questi si riferiscono ai dati personali degli interessati o meno, alla natura specifica dei dati (es. dati sanitari?) e alla categoria di interessati (es. minori?). Solo a valle di questa analisi possono essere determinate le responsabilità in qualità di titolare o di responsabile per conto di altri titolari.

Risposta di Anna Fabi