Sono un artigiano senza dipendenti, che lavora come consulente per aziende del settore edile. Cosa sono tenuto a fare riguardo alla nuova legge sulla Privacy?
Per lei gli adempimenti previsti dal nuovo GDPR sono tutto sommato limitati. Ad esempio, la sua attività non prevede un trattamento di dati personali su larga scala tale da rendere necessari adempimenti quali la nomina del DPO, responsabile protezione dati, oppure la tenuta di un apposito registro.
Sarebbe uguale anche se lei avesse dei dipendenti: la normale attività aziendale – che richiede di base un trattamento di dati relativi a dipendenti, collaboratori, fornitori, clienti e via dicendo – non comporta nuovi obblighi, nel senso che non si configura come attività che prevede il trattamento di dati sensibili.
In ogni caso, il principio di fondo del GDPR è quello dell’accountability, ossia responsabilizzazione, per cui è lei che, in quanto titolare del trattamento di eventuali dati, deve valutare l’eventuale impatto del rischio di violazione privacy e mettere a punto tutte le misure ritenute idonee ad assicurare il rispetto dei diritti degli interessati. Mettendole a sistema. L’articolo 24 del Gdpr prevede infatti che:
il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento.
Quindi, ad esempio, nel caso in cui lei debba raccogliere o gestire dati personali di clienti, deve adottare tutte le misure (anche tecnologiche) per garantirne la riservatezza (criptazione dati, backup, data recovery…) e comunicare tempestivamente al Garante eventuali violazioni. In un caso come il suo, ritengo che questo sia l’obbligo fondamentale.
Hai una domanda che vorresti fare ai nostri esperti?
Chiedi all'espertoRisposta di Anna Fabi
