Parliamo del tuo progetto!

+33 1 99 73 80 69

HomeGDPR

Dal 25 maggio 2018, le aziende e i professionisti devono  conformarsi al Regolamento GDPR, ovvero il Regolamento generale sulla protezione dei dati, allo scopo di proteggere i dati personali e la privacy dei cittadini dell'Unione europea. Le aziende o i professionisti che non si adeguano al Regolamento GDPR incorrono in pesanti sanzioni che possono andare da un semplice ammonimento a vere e proprie ammende. Di conseguenza, tutte le aziende (ivi comprese le PMI) e i professionisti devono mettere in atto sistemi e procedure volti a garantire la propria conformità alle leggi in materia di protezione dei dati dei propri clienti.  

 

Ai sensi del Regolamento GDPR, sono protetti i tipi di dati personali seguenti: dati personali di base (cognome, indirizzo, codice fiscale), dati Web (indirizzo IP, localizzazione, dati dei cookie, ecc.), dati medici e biometrici, dati relativi a razza o etnia, opinioni politiche e orientamento sessuale.  

 

Il Regolamento GDPR non si applica ai dati trattati per finalità puramente personali o per attività effettuate nell'ambito familiare. Tuttavia, tali dati non devono essere legati ad alcuna attività commerciale o professionale.  

 

La legge non si applica esclusivamente alle aziende e ai professionisti residenti negli Stati membri dell'UE. Concerne anche qualsiasi azienda che non abbia una presenza commerciale negli Stati dell'UE, ma le cui operazioni implichino l'archiviazione o il trattamento di dati personali relativi ai cittadini dell'UE all'interno degli Stati dell'UE.  

 

In altre parole, anche traduttori, interpreti, revisori e professionisti affini sono tenuti a conformarsi alle esigenze del Regolamento generale sulla protezione dei dati per lavorare con le aziende, nella misura in cui essi trattino documenti e informazioni contenenti dati privati relativi all'azienda.  

 

Inoltre, aziende e professionisti devono altresì garantire il rispetto degli accordi di riservatezza (accordi di non divulgazione o NDA). Il Regolamento GDPR mira infatti a proteggere i dati privati, mentre un NDA evita la divulgazione di informazioni appartenenti a clienti diretti e indiretti. Tali accordi sono complementari tra loro e devono essere inseriti nell'addendum di ogni società al fine di garantire l'assoluta riservatezza e il completo rispetto del Regolamento GDPR.

Il tuo elenco di controllo conformità sul GDPR

 

1/ Domanda: Dispongo di tutta la documentazione necessaria per mostrare al mio cliente come raccolgo, conservo ed elaboro i dati sensibili in modo semplice e conciso?

1/ Risposta: Ogni raccolta dati deve essere corredata di un’informativa contenente tutte le informazioni richieste all’articolo 13. Uno dei nuovi requisiti per tutti noi è la necessità di utilizzare un linguaggio semplice e chiaro.

 

2/ Domanda: Ho organizzato la mia attività professionale in modo da raccogliere e/o trattare solo i dati personali strettamente necessari al mio lavoro e all’esecuzione del contratto in essere con la Società?

2/ Risposta: I principi generali da adottare sono esposti agli articoli 5 e 11.
Da notare che il principio della minimizzazione dei dati si traduce nel trattamento dei soli dati pertinenti all’esecuzione contrattuale. La raccolta o il trattamento dei dati estranei e non necessari all’applicazione contrattuale si considera di natura abusiva.

 

3/ Domanda: Ho organizzato la conservazione dei documenti sui vari servizi in modo che siano sempre accessibili esclusivamente al personale autorizzato?

3/ Risposta: In tal caso si sommano le esigenze generali di disponibilità e riservatezza dei database. La traduzione pratica è una gestione ordinata di dati e informazioni, ovvero file cartacei e cartelle digitali, che garantisca la tutela dei contenuti da occhi indiscreti o dall’accesso di utenti non autorizzati ma che allo stesso tempo consenta al titolare di gestire in modo efficiente le attività

 

4/ Domanda: Se del caso (sono un’agenzia o uno studio associato), ho nominato e adeguatamente formato i miei collaboratori nonché formalizzato i rapporti con i professionisti a cui mi rivolgo per la gestione e lo sviluppo delle attività dello studio?

4/ Risposta: L’intero organigramma della “privacy” aziendale deve essere coinvolto nella politica di protezione dei dati. Si tratta di un organigramma esteso, che include gli incaricati (collaboratori, professionisti, dipendenti) ma anche i responsabili dei trattamenti, ovvero professionisti esterni che collaborano con lo studio a vario titolo (avvocati di altre sedi, commercialisti, consulenti del lavoro, tra l’altro). Da notare che è necessaria una nomina dei responsabili (articolo 29)

 

5/ Domanda: I miei PC sono protetti dalle minacce esterne? Per ogni evenienza dispongo del nominativo di un tecnico informatico di fiducia per la risoluzione di problemi specifici?

5/ Risposta: Lo standard è l’implementazione di software adeguati per prevenire attacchi o minacce di varia origine e natura. In tal senso può essere opportuno affidarsi alla competenza e all’esperienza di un professionista.

 

6/ Domanda: I PC portatili e gli altri strumenti IT rimovibili sono utilizzati per attività esterne al mio posto di lavoro al fine di ridurre al minimo i rischi di perdita accidentale, sottrazione fraudolenta e simili?

6/ Risposta: L’esempio lampante è l’utilizzo della pennetta USB: oltre a una password obbligatoria di protezione della penna, è necessario caricare/salvare nel dispositivo removibile solo i dati da elaborare durante la sessione esterna.

 

7/ Domanda: Eseguo un backup completo di tutti i dati sul PC almeno una volta alla settimana?

7/ Risposta: Si tratta di un’operazione davvero fondamentale per la tutela dei dati. In relazione all’intensità delle modifiche giornaliere, si consiglia una frequenza maggiore di quella minima.

 

8/ Domanda: Ho definito un tempo di conservazione dei dati sensibili in linea con le finalità dei trattamenti?

8/ Risposta: Anche il professionista è tenuto, al pari dei titolari, a definire il periodo di conservazione dei dati (che non possono essere conservati ad libitum). Inoltre (novità rispetto al regolamento), è obbligato a farne menzione speciale nell’informativa (in alternativa al periodo di conservazione sarà sufficiente indicare i criteri utilizzati per determinarlo).

 

9/ Domanda: Quando devo smaltire PC, notebook e altri dispositivi in uso per la mia attività professionale, mi assicuro che non sussistano rischi marginali di esposizione dei dati sensibili in sede di smaltimento?

9/ Risposta: I cosiddetti “rifiuti elettronici”, quando non adeguatamente smaltiti, sono una fonte problematica di informazioni a danno degli interessati che compromette lo stesso titolare del trattamento (si veda la definizione di titolare del trattamento nel Regolamento). È doveroso fare riferimento alle disposizioni del regolamento in materia.

 

10/ Domanda: Ho adottato le misure del caso per la sicurezza fisica sul posto di lavoro, nel senso di aver adottato misure o precauzioni ragionevoli per prevenire accessi e azioni indesiderati che potrebbero influire negativamente sulla riservatezza, sulla disponibilità o sull’integrità dei database?

10/ Risposta: Il problema è sempre la sicurezza del trattamento. Questa volta, invece, la valutazione riguarda l’ispezione dei locali/luoghi fisici in cui si svolgono le attività del professionista. Le misure di tutela “adeguate” possono variare a seconda del contesto (ad esempio, uno studio sito in un locale all’interno di un’unità immobiliare dove sono presenti altri professionisti, un ufficio al piano terra di un condominio, tra l’altro)

Parliamo del tuo progetto

Ti risponderemo al più presto.