Tutto quello che devi sapere sul GDPR, il regolamento generale sulla protezione dei dati, per evitare multe e sanzioni.
Tutte le aziende, siano esse startup, PMI o corporate, hanno l’obbligo di adeguarsi al regolamento UE 2016/679 (GDPR) sulla protezione dei dati, ma spesso non è chiaro come le aziende devono compiere tale adeguamento e quali sono i passaggi da fare: proprio per questo motivo, voglio darti una visione generale e pratica del processo di adeguamento al GDPR.
In questo articolo, infatti, tratteremo le principali informazioni e gli elementi strutturali del GDPR, per permetterti di comprenderle facilmente e capire quali sono i procedimenti più adatti ad evitare multe e sanzioni.
Analizzeremo le specifiche modalità di adeguamento al GDPR, con particolare focus sui soggetti che devono adeguarsi e quelli esclusi, tenendo come faro guida l’importanza della figura professionale del consulente legale in ottica di compliance al regolamento generale sulla protezione dei dati.
E più nello specifico:
GDPR: COSA SIGNIFICA
Con l’acronimo GDPR si indica il General Data Protection Regulation, cioè il regolamento generale sulla protezione dei dati.
Essendo il GDPR un regolamento, non deve essere recepito a discrezione dei singoli Stati dell’Unione Europea, ma attuato allo stesso modo da parte di tutti i membri, senza margini di libertà nell’adattamento (con esclusione delle parti per le quali si prevede espressamente la possibilità di deroga).
Cosa vuol dire questo? In pratica vuol dire che se la tua azienda è all’interno dell’Unione Europea e se tratti dati di “cittadini europei” (ad es. italiani, spagnoli, francesi, ecc…) allora dovrai rispettare gli obblighi che il GDPR ti impone.
Il GDPR ha ad oggetto le norme relative alla protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento e la protezione dei dati personali, nonché le norme relative alla libera circolazione di tali dati così come espresso all’art.1 dello stesso.
GDPR: CHI SI DEVE ADEGUARE?
Cosa succede se sono un’azienda che ha sede fuori dall’Unione Europea? In questo caso il GDPR (art. 3 GDPR) ti dice che dovrai comunque adeguarti al Regolamento se tratti dati di cittadini europei e, nel caso tu non hai aperto un ufficio in uno dei Paesi europei, dovrai nominare un rappresentante all’interno dell’UE (art. 27 GDPR).
Infatti, riprendendo il testo del GDPR, l’art. 3 ti dice che:
- Hai l’azienda in UE: il GDPR si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione.
- Non hai l’azienda in UE: il GDPR si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
- il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione, l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure
- il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.
GDPR:COME ADEGUARSI
Per meglio comprendere come adeguarsi al GDPR, è necessario sottolineare che dal 16 maggio 2019 si è conclusa la fase transitoria di “tolleranza” nell’applicazione delle sanzioni amministrative a carico degli inadempienti (così come prevista all’art. 22, punto 13, d.lgs. 101/2018).
Per tale ragione, adeguarti al GDPR significa non solo assicurare alla tua azienda un’applicazione coerente e omogenea al regolamento ma anche evitare sanzioni di grande entità.
Tutte le imprese, enti, organizzazioni, o liberi professionisti che si occupano della vendita di beni e/o servizi a persone dell’Unione europea, indipendentemente dalle dimensioni (siano esse grandi aziende o PMI) che trattano o processano dati personali dei cittadini dei paesi dell’UE devono rispettare gli obblighi del nuovo regolamento europeo sulla protezione dei dati.
Adeguarsi, come ti ho anticipato, è un processo che va affrontato diverse fasi, vediamole:
- Dovrai fare un’analisi dei tuoi processi di trattamento e dei tuoi documenti e, in questa fase, valuterai i rischi per la tua azienda in relazione al GDPR e il rischio di sanzioni;
- Valutati i rischi dovrai limitarli redigendo la documentazione, implementando le corrette procedure e facendo formazione al personale
- Il GDPR, però, non finisce all’adeguamento, dovrai effettuare un monitoraggio costante per valutare il costante aggiornamento della normativa e dei tuoi processi e documentazione aziendale.
In particolare, le aziende di solito non prendono in considerazione dei documenti molto importanti che vengono verificati dal Garante nei controlli per valutare se l’azienda è adeguata e quale è il suo livello di attenzione. In particolare, quindi, ti voglio mettere l’attenzione su questi documenti:
- Registro del trattamento: il documento per eccellenza che fa notare al Garante se la tua azienda ha mappato correttamente tutti i processi di trattamento dati ed ha valutato correttamente come tutelare i diritti delle persone delle quali tratti i dati;
- Procedura di Data Breach: misura preventiva che regola le modalità di intervento per evitare o risolvere una violazione di sicurezza che comporti in maniera accidentale o volontaria (illecita) la distruzione, la perdita, la divulgazione (non autorizzata) o l’accesso ai dati personali conservati o trattati;
- Valutazione d’impatto (il GDPR in inglese la nomina Data Protection Impact Assessment): serve a ridurre i rischi del trattamento che solitamente le aziende non hanno considerato e che possono portare a delle sanzioni.
CONSULENTE LEGALE PER IL GDPR: COSA FARE PER METTRSI IN REGOLA
Adeguarsi al GDPR, come ti ho anticipato, è obbligatorio e consiste in un processo composto delle fasi di cui ti ho appena parlato.
Per questo la figura del consulente legale risulta cruciale nel processo di adeguamento al nuovo regolamento europeo sulla protezione dei dati.
Il suo compito sarà quello di affiancare la tua azienda e prepararla a fronteggiare il cambiamento previsto dal GDPR, offrendo consulenza legale ed organizzativa e soluzioni tecnologiche su misura pienamente in linea con la normativa.
Il consulente, quindi, una volta verificato se l’organizzazione è conforme al GDPR in tutto, o solo in parte, si identificheranno le aree prioritarie sulle quali intervenire.
Tale intervento verte su un adeguamento normativo e tecnologico consistente nell’attuare un piano di intervento necessario a sanare le non conformità al GDPR.
Più nello specifico, un team a te dedicato implementerà le procedure necessarie e le soluzioni tecnologiche più adatte, affiancando la tua azienda in tutte le attività necessarie all’allineamento dell’organizzazione al regolamento generale sulla protezione dei dati.
Pertanto dopo aver portato accuratamente a termine il processo organizzativo preliminare, sarà necessario attuare tutte le misure tecniche per evitare di incorrere nelle sanzioni previste dal GDPR, attraverso una verifica su controlli e misure di protezione.