PRIVACY PER LE AZIENDE: COME ADEGUARSI

Il Regolamento UE 679/2016 relativo alla protezione dei dati personali è già applicabile negli Stati membri dal 25 maggio 2018.

In attesa che il Decreto Legislativo di adeguamento dell’Ordinamento italiano a quello UE entri in vigore a far data dal 21 agosto 2018, definendo così in ambito nazionale quali siano i provvedimenti che le aziende italiane dovranno obbligatoriamente adottare al loro interno, per essere in regola con il trattamento dei dati personali. Le sanzioni previste in caso di inadeguatezza sono assai gravose possono ammontare sino a 20 milioni di euro o sino al 4% del fatturato annuo.

Con la nuova Normativa sulla Privacy sarà l’azienda a dover documentare di avere adottato tutte le misure idonee a tutelare la privacy dei propri clienti/dipendenti/interlocutori commerciali. Pertanto è importante conoscere in modo esaustivo quali debbano essere le misure da adottare per essere adempienti a quanto richiesto dalla normativa.

Le aziende sino a 250 dipendenti sono soggette ad un adeguamento più morbido, che deve tenere in considerazione soprattutto la tutela dei dati attraverso l’adozione di una modulistica ad hoc per clienti, dipendenti e fornitori, ma altrettanto una adeguata adozione di misure interne, che dovranno essere comunque documentate e custodite in modo tale da porre in grado l’azienda di attestare la propria adeguatezza nei confronti delle prescrizioni di legge.

Oltre a ciò grande importanza assume il trattamento dei dati personali attraverso i siti web.

L’adozione di buone prassi per la tutela dei dati si intrecciano con la normativa sul commercio elettronico del DLGS 70/2003 che in modo assai stringente prevede sanzioni amministrative da 103,00 a 10.000,00 euro in caso di violazione.

Per le aziende di dimensioni superiori ai 250 dipendenti, o che comunque trattano dati personali su vasta scala, sarà necessaria l’adozione di ulteriori misure quali quelle della nomina di un DPO (Data Protection Officer) in grado di gestire e controllare l’applicazione delle misure idonee alla tutela della privacy nell’ambito dell’attività aziendale e l’adozione di un registro del trattamento dati che sarà necessario anche per aziende piu’ piccole nel caso in cui la registrazione sia ritenuta utile all conservazione dei dati.

Ogni azienda dovrà valutare in concreto quale sia il rischio di divulgazione dei dati tutelati dalla privacy adottando provvedimenti mirati come la sottoscrizione da parte di fornitori di servizi di assunzione di propria responsabilità come responsabile esterno dei dati sulla base della mansione a questo affidata e al proprio interno con nomine ad hoc dei propri dipendenti a seconda del ruolo svolto come incaricati del trattamento dati.

Non ultimo un’informativa esauriente rivolta alla clientela sul trattamento e la custodia dei dati pervenuti a conoscenza dell’azienda.

Insomma non vi sarà una sola prescrizione o un’insieme univoco di prescrizioni. Ogni azienda dovrà essere in grado in caso di verifica di dimostrare di aver posto in essere ogni opportuno accorgimento per tutelare i dati personali affidati ad essa: compito non semplice, ma necessario e sempre più sentito a livello non solo europeo, ma globale.