Gdpr, cosa devono fare i professionisti

In gdpr,norme e tributi,professione e professionisti il
Autore: Gennaro Del Core

Il Gdpr, ovvero il regolamento europeo 2016/679, è divenuto operativo lo scorso 25 maggio. Introduce una serie di novità, prima fra tutte un approccio diverso ai dati personali che assumono sempre più il valore di bene economico e, come tale, hanno un legittimo proprietario che può disporne come crede.

Una novità importante il regolamento europeo sul trattamento dei dati personali. Ci siamo già occupati di quello che devono fare gli amministratori di condominio. Da questo post cominceremo ad allargare l’obiettivo su tutti i professionisti per poi scendere nello specifico.

Segui il blog dei professionisti del Gdpr, regolamento europeo sul trattamento dei dati personali

Chiariamo subito che per la maggior parte dei professionisti non è obbligatorio nominare un Data Protection Officer ovvero un consulente dedicato al trattamento dei dati personali che transitano dallo studio. La differenza tra obbligatorietà o meno è data dal trattamento di dati su “larga scala” o come attività sistematica (ma dubito possa essere il caso del vostro studio tecnico).

Adempimento numero 1: Valutazione d’impatto sulla protezione dei dati (Dpia – Data Protection Impact assessment)

L’art. 35 del regolamento indica:

Quando un tipo di trattamento, prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

Questo significa che nonostante non sia necessariamente obbligatoria un’azione di questo tipo, redigere una valutazione dei rischi nell’ambito del trattamento dei dati è sempre preferibile farla. Sarà l’occasione per analizzare i processi interni allo studio professionale ed individuare eventuali criticità. Se preso dal verso giusto, il gdpr non è solo un altro balzello ma la chances per organizzare meglio il proprio lavoro e quello dell’intero studio.

Adempimento numero 2: il registro dei trattamenti

L’art. 30 del Gdpr recita:

Ogni Titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento
svolte sotto la propria Responsabilità. Tale registro contiene tutte le seguenti informazioni:

  1. il nome e i dati di contatto del Titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante
    del Titolare del trattamento e del Responsabile della protezione dei dati;
  2. le finalità del trattamento;
  3. una descrizione delle categorie di interessati e delle categorie di dati personali;
  4. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  5. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa
    l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo
    comma dell’articolo 49, la documentazione delle garanzie adeguate;
  6. ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  7. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

Il Gdpr introduce un concetto nuovo per gli Italiani, quello dell’accountability ovvero della responsabilizzazione. Non introduce adempimenti definiti secondo schemi e prassi, semplicemente chiede ai titolari dei trattamenti dei dati di farsi carico della responsabilità di proteggerli. Gli atti e le misure da porre in essere sono lasciati a chi ne ha la responsabilità. Una scelta obbligata se si pensa che il regolamento 2016/679 deve essere messo in pratica in ben 28 paesi, ognuno con una legislazione diversa.

Adempimento numero 3: adeguamento online e offline.

Qui arriva il bello, una volta che sono stati valutati i rischi ed è stato redatto un registro del trattamento dei dati (una sorta di diario di bordo di tutte le iniziative poste in essere) bisognerà realizzare quell’adeguamento necessario per essere in regola. Sia online che offline.

Ti aiutiamo noi con il Gdpr

Si partirà, ad esempio, da una nuova informativa. Adeguata alle finalità della raccolta dei dati, l’utente dovrà conoscere con chiarezza perché state raccogliendo le sue informazioni. Semplici adempimenti fiscali? Newsletter? Creazione di un database da rivendere a terzi? Inutile dire che sarà necessario richiedere il consenso al trattamento dei dati per ogni singola finalità.

Anche offline bisognerà adottare “misure tecniche ed organizzative adeguate”. Se abbiamo detto che il regolamento stabilisce che il dato personale è un bene economico andrà custodito come si conviene. Niente password attaccate con un post-it sul tuo portatile! Cambia spesso le credenziali di accesso e, possibilmente, senza condividerle in giro.

Conclusioni

Il gdpr può essere vissuto come un fastidio, un nuovo balzello per spillare qualche euro a imprese e professionisti ma può anche essere una grande occasione. Innanzitutto perché impone un nuovo approccio culturale in ambito di trattamento dei dati personali. Dietro quella dicitura ci siamo noi, tutti noi. Se in alcuni casi siamo titolari del trattamento in molti altri siamo utenti e quindi vogliamo giustamente essere trattati come si deve.

Allora approfittiamo di questa occasione anche per organizzare meglio il nostro studio o la nostra impresa. Quanto ai costi si possono abbattere ingaggiando un consulente insieme con altri studi in modo da dividere le spese come del resto consente lo stesso regolamento 2016/679.

Richiedi una consulenza.

 

 

 

Commenti
Condividilo

Tag:, , ,