Il Regolamento Europeo e la gestione della privacy
Il GDPR 2018 è il regolamento europeo 2016/679 entrato in vigore il 25 maggio 2018.
Esso modifica le normative degli stati membri in materia di protezione e sicurezza dei dati personali ed introduce modifiche alle regole relative alla privacy.
Il regolamento si applica in tutti gli stati membri dell’Unione Europea, e specifica che qualsiasi tipo di trattamento di dati, indipendentemente dalla modalità di raccolta e di conservazione o dall’uso che se ne fa, è assoggettato al GDPR.
Tutte le attività economiche devono assoggettarsi alle regole prescritte dal regolamento.
Questo vuole dire che tutte le aziende ed i professionisti che trattano dati personali devono applicare una serie di avvertenze per la protezione di questi dati, e devono elaborare alcuni documenti per dimostrare quali siano le iniziative intraprese per proteggere tali informazioni.
Il fai da te è la cosa più pericolosa: consulta la nostra azienda e avrai la garanzia che il tuo GDPR sarà elaborato rispettando tutte le indicazioni della normativa
Il testo del Regolamento Europeo per punti
- Censimento dei trattamenti. Forse non sai che qualsiasi raccolta di dati costituisce un trattamento assoggettato al GDPR: l’uso di un programma gestionale, l’elenco dei tuoi dipendenti iscritti ad un sindacato, la raccolta dei certificati di idoneità al lavoro rilasciati dal Medico de lavoro e perfino i fogli paga sono trattamenti assoggettati al GDPR, e questo indipendentemente dal fatto che tali trattamenti siano gestiti a mano o con l’impiego di strumenti informatici. Il nostro compito è quello di porti le domande giuste al fine di individuare tutti i trattamenti di dati presenti in azienda e di descriverli, indicando tutte le iniziative poste in atto per evitare la perdita o la sottrazione fraudolenta dei dati in essi contenuti.
- Individuazione del grado di sensibilità dei diversi trattamenti. Non tutti i trattamenti sono sensibili per la legge. Quindi per ogni trattamento indicheremo il grado di sensibilità delle informazioni in esso contenute. Ad es.: la conservazione delle buste paga è un trattamento meno sensibile della conservazione dei dati relativi al pagamento del contributo dei lavoratori ai diversi sindacati, in quanto nel primo caso sul cedolino è rilevata una voce generica “Ritenute sindacali”, nel secondo caso è possibili capire a quale sindacato sia iscritto un lavoratore.
- Individuazione delle iniziative intraprese volte a ridurre il pericolo di perdita o sottrazione dei dati. Il GPDR prevede che l’azienda o il professionista utilizzi tutti i metodi disponibili volti ad evitare la perdita o la sottrazione dei dati da parte di terzi. Che si tratti di un cassetto chiuso a chiave per i trattamenti cartacei o di un sistema per evitare che dall’esterno qualcuno possa collegarsi al Sistema Informativo carpendo dei dati relativi a trattamenti informatici, poco importa. Sono tutte informazioni da annotare sul trattamento.
- Censimento dei dispositivi usati per aumentare il livello di sicurezza dei dati contenuti in ogni singolo trattamento. Si può trattare, come detto in precedenza, di una serratura applicata ad un armadio o ad un cassetto, di un firewall applicato ad un collegamento internet, o anche solo di una password per l’accesso alla rete wi-fi. Il censimento dei dispositivi informatici può presentare non pochi problemi per i non addetti ai lavori.
- Compilazione del Registro dei Trattamenti. E’ uno dei documenti previsti dal GDPR e che individua tutti i trattamenti, col grado di sensibilità delle informazioni contenute ed i sistemi di protezione delle informazioni. La corretta compilazione di questo documento, insieme a qualche altro piccolo accorgimento, ti darà la possibilità di conoscere tutti i punti delicati della privacy nella tua azienda e ti permetterà di dare risposte certe in caso di controlli da parte delle autorità preposte.