La correttezza delle procedure e il rispetto delle norme in materia di privacy è alla base dell’operatività di ogni organizzazione, soprattutto quando questa si muove nell’ambito dell’e commerce e del marketing, scegliendo poi di utilizzare i canali social per promuovere la propria attività.
Il rispetto della normativa è necessario anche al fine di non cadere nelle maglie dell’attività ispettiva del Garante e incorrere in sanzioni, che potrebbero danneggiare, oltre che l’azienda stessa dal punto di vista economico o amministrativo, anche la sua reputazione nei confronti dei clienti, dei partner e degli stakeholders in generale. L’aspetto di cui stiamo parlando è la compliance.
Per entrare nello specifico, fondamentale è la compliance al Gdpr, cioè la conformità al Regolamento europeo per la protezione dei dati. Chi, ad esempio, esercita un’attività commerciale online ha indubbiamente la necessità di entrare in contatto con i clienti ed acquisire informazioni personali che rientrano nella tutela della privacy.
In una recente decisione nei confronti di un’azienda sanitaria, il Garante privacy ha fornito importanti informazioni sulla corretta adozione di adempimenti che vanno adottati dai titolari del trattamento in materia di compliance Gdpr, ovvero sulla correttezza delle procedure e delle misure tecnico organizzative di sicurezza, da adottare nel rispetto delle norme dettate dal Regolamento europeo, quindi in materia di privacy.
In particolare, dall’intervento del Garante italiano si possono trarre rilevanti accorgimenti da considerare attentamente, nell’ambito della predisposizione degli adempimenti in materia di data protection, che spesso sono erroneamente “sottovalutati” dai titolari del trattamento. Questi in particolare:
A questi adempimenti (ma non solo) i titolari del trattamento devono dare la massima attenzione. Va ricordato, infatti, che da quando è in vigore il Gdpr, in ossequio al principio della responsabilizzazione (“accountability”), i titolari del trattamento diventano i primi controllori di sé stessi, ovvero della conformità dei propri trattamenti ai precetti normativi.
La predisposizione e l’aggiornamento del registro delle attività di trattamento, di cui all’articolo 30 del Gdpr, costituisce uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione. Rappresenta, inoltre, parte integrante di un sistema trasparente di gestione dei dati.
Vista l’importanza del responsabile del trattamento, il Garante ha in più occasioni sottolineato che la sua designazione deve essere idonea in relazione al Gdpr. Infatti, l’articolo 30 del Regolamento spiega che, qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a “responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate” in modo tale che il trattamento soddisfi i requisiti del regolamento e “garantisca la tutela dei diritti dell'interessato”.
L’organizzazione deve mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza proporzionato al rischio, che possono comprendere, tra le altre, la pseudonimizzazione, la cifratura dei dati personali e misure in grado di assicurare, su base permanente, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi dei servizi di trattamento.
Il Gdpr detta regole stringenti anche in materia di consenso informato in particolare per la realizzazione del modello di informativa. In tal senso, gli articoli 13 e 14 prevedono elementi informativi che vanno previsti, quali: il periodo di conservazione dei dati personali, i diritti riconosciuti dal Regolamento agli interessati, il diritto di proporre reclamo all’Autorità di controllo e i dati di contatto dei titolari del trattamento e del responsabile della protezione dei dati.
L’azienda non può prescindere da una valutazione dell’impatto sulla protezione dei dati in base all’articolo 35 del Gdpr. Su questo aspetto, la norma è chiara: “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali”.
Vuoi leggere altri approfondimenti? Ecco cosa offre il nostro Blog:
Inizia con il piede giusto e scopri le regole essenziali della compliance al Gdpr per l'operatività della tua impresa.
Clicca qui per verificare date e argomenti dei nostri prossimi webinar di approfondimento.