A distanza di poco più di un anno dall’entrata in vigore del General Data Protection Regulation meglio noto come GDPR abbiamo assistito come in questi mesi grandi big del web siano stati multati dai vari Stati, ad esempio Google ha ricevuto una multa da 50 milioni di euro in Francia per violazione del GDPR ed anche Facebook ha ricevuto una multa di 1 mln di euro dal Garante della Privacy italiano.
Le multe inflitte a questi colossi sono enormi ma ricordiamo che in base al GDPR le sanzioni amministrative sono distinte in due gruppi:
- Violazione di minore gravità: sono previste sanzioni amministrative fino a 10 milioni di euro oppure fino al 2% del fatturato mondiale totale annuo relativo all’esercizio precedente.
- Violazioni di maggiore gravità: in questo caso le sanzioni amministrative possono ammontare fino a 20 milioni di euro oppure fino al 4% del fatturato mondiale totale annuo relativo all’esercizio precedente.
E’ importantissimo rispettare delle regole imposte dal Regolamento generale sulla protezione dei dati affinché la nostra azienda sia GDPR COMPLIANCE o che almeno ci consenta di abbassare il più possibile il rischio di sanzioni amministrative. E quali sono queste regole o come possiamo esemplificarle?
Per prima cosa dobbiamo ricordare che il GDPR pone il principio di trasparenza e che l’informativa deve essere al centro di tutto.
Deve essere completa, chiara, personalizzata e soprattutto deve contenere tutte le parti previste dalla normativa di conseguenza non può essere un’informativa generica, vaga o peggio ancora copiata su internet da altri gdpr.
Il GDPR ha introdotto una figura chiave all’interno dell’azienda, necessaria son in alcuni casi, e cioè il DPO (Data Protection Officer). Il DPO è una figura che deve essere designata dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, nonché consultive, formative e informative, deve avere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.
E’ obbligatorio nominare il DPO quando:
I) se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali;
III) se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
III) se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
Dobbiamo aver redatto e costantemente aggiornato il Registro dei Trattamenti, che è a carico del titolare o, se nominato, del responsabile del trattamento.
Questo registro deve contenere una serie di informazioni come il nome e di dati di contatto del titolare del trattamento, le finalità del trattamento, i destinatari a cui i dati saranno comunicati, ecc..
Un altro punto sul quale il GDPR pone l’attenzione è la continua formazione dei soggetti che sono tenuti a trattare i dati, è possibile fare formazione sia in aula che online ma è importante che siano state predisposte delle corrette verifiche di apprendimento dei soggetti che hanno partecipato
Questi sono solo alcuni degli aspetti richiesti dal GDPR, ma per essere veramente “GDPR Compliant” ci sono molte altre cose che bisogna tener conto e che ogni singola realtà aziendale è diversa dall’altra per cui è importantissimo evitare di copiare documenti presi sul web, generalizzare le procedure o cercare di adattare documenti di altri alla propria realtà aziendale.
Nexsys in collaborazione con professionisti del settore ha elaborato per un servizio di adeguamento al GDPR, consulta la nostra pagina GDPR per avere maggiori informazioni, clicca qui.