Il Regolamento Generale sulla Protezione dei Dati (GDPR) è stato emanato nel 2016 ed è entrato in vigore nel 2018. Nonostante siano passati più di cinque anni, però, ancora oggi molte aziende non sono completamente conformi. Parliamo di un regolamento finalizzato a garantire la protezione dei dati personali nell’Unione Europea e la sua applicazione riguarda tutti coloro che fanno impresa e trattano dati personali, dalle grandi aziende ai piccoli artigiani o liberi professionisti.
Tante realtà in Italia sono ignare, più o meno volontariamente, della mancata applicazione del GDPR nel loro piccolo o grande lavoro e della gravità delle sanzioni con le quali mettono a rischio tutto ciò che hanno costruito con sforzi immani fino ad ora. Ecco perché con questo articolo vogliamo portare alla luce quattro aspetti del GDPR che potrebbero sorprenderti. Non attendere la consegna di multe salate: se hai qualche dubbio su uno o più aspetti del Regolamento contatta degli esperti in materia e rientra immediatamente “a norma”.
1. Il GDPR non riguarda solo le grandi aziende
Sono ancora troppe le persone convinte che il GDPR sia una questione di interesse solo per le grandi aziende con ingenti risorse e una vasta clientela. La realtà è ben diversa: il Regolamento Generale sulla Protezione dei Dati si applica a tutte le entità che trattano dati personali, indipendentemente dalle loro dimensioni.
Ciò significa che anche se sei un artigiano con una piccola azienda e pochi dipendenti devi rispettare il GDPR. In che modo? Se ad esempio hai un dipendente e il consulente del lavoro tratta i suoi dati per l’elaborazione della busta paga, sei obbligato a fornire al lavoratore le opportune informative sulla privacy e nominare il consulente quale responsabile del trattamento. La conformità al GDPR non è facoltativa e ignorare queste norme può portare a sanzioni significative.
Tutte le aziende, quindi, indipendentemente dalla loro dimensione e dal fatturato annuo, devono preparare informative sulla privacy per informare dipendenti, clienti e fornitori su come i loro dati vengono trattati, oltre ad avere l’obbligo di nominare – quando necessario – i responsabili per il trattamento dei dati e assicurarsi che siano adeguatamente formati e consapevoli delle loro responsabilità.
2. Il banner dei cookie online: non basta un semplice “Accetta”
Un altro aspetto spesso frainteso del GDPR riguarda l’uso dei cookie e la necessità di ottenere il consenso degli utenti. Il classico banner in un angolo che presenta il singolo tasto “Accetta i cookie” non è infatti sufficiente per conformarsi al Regolamento.
Nello specifico, per alcuni cookie (c.d. cookie tecnici e cookie analitici) non è richiesto il consenso dell’utente, poiché il loro utilizzo è necessario al corretto funzionamento del sito e alla fruizione dei suoi contenuti; in questo caso è comunque obbligatorio fornire agli utenti l’informativa sul trattamento dei loro dati personali ai sensi dell’art. 13 GDPR. Diversamente, i c.d. cookie di profilazione non sono essenziali per l’esperienza di navigazione dell’utente e, pertanto, per la loro installazione è necessario che questi esprima il proprio consenso.
È inoltre da ricordare che il Garante, nelle linee guida del 10 giugno 2021, consiglia di adottare un cookie banner che comporti una “percettibile discontinuità nella fruizione dei contenuti della pagina web che [l’utente] sta visitando”.
Un’informativa conforme deve spiegare chiaramente quali cookie vengono utilizzati, per quali scopi e come l’utente può gestirli. È fondamentale che sia possibile rifiutare facilmente i cookie non essenziali e che il consenso sia ottenuto in maniera chiara e trasparente.
3. Registro dei Trattamenti: necessario il possesso, e non solo per il titolare
Uno degli obblighi meno noti del GDPR è la necessità di custodire un registro dei trattamenti che tracci e monitori le attività di trattamento dei dati personali. Questo deve essere disponibile per l’Autorità Garante su richiesta e includere sia i trattamenti elettronici che cartacei, con le relative misure di sicurezza. Molti pensano che a ciò sia tenuto solo il titolare del trattamento, ma in realtà anche i responsabili del trattamento rispondono a tale obbligo. Ciò significa che ogni entità che gestisce dati personali deve documentare accuratamente tutte le attività di trattamento dei dati.
N.B. È importante raccogliere solo i dati strettamente necessari per le finalità specifiche, altrimenti si rischiano sanzioni fino a 20 milioni di euro.
Il GDPR non richiede uno specifico formato per il registro dei trattamenti: puoi tenerlo in qualsiasi forma, purché sia completo, aggiornato, immediatamente consultabile e contenga tutte le informazioni richieste come le categorie di dati trattati, le finalità del trattamento e le misure di sicurezza adottate. Se la tua azienda tratta dati di diverse categorie, come dati dei dipendenti e dati dei clienti, è necessario esplicitare i trattamenti relativi a ciascuna categoria. Questo aiuta a garantire una gestione più precisa e conforme dei dati, riducendo il rischio di errori e violazioni.
4. L’importanza della conformità continua
Uno degli aspetti più critici del GDPR è la necessità di una conformità continua: non è un compito da svolgere una tantum. Le aziende devono monitorare costantemente le loro pratiche di gestione dei dati e aggiornare le informative e i registri dei trattamenti regolarmente. Questo è essenziale per rispondere ai cambiamenti nelle operazioni aziendali e ai nuovi obblighi normativi che possono emergere.
In particolare, il registro dei trattamenti deve essere sempre aggiornato perché è essenziale per gestire correttamente i dati personali e rispondere alle richieste degli interessati, come la cancellazione di un dato, oltre a garantire l’accountability che il Regolamento richiede al titolare del trattamento. Anche eventuali modifiche nel trattamento dei dati, come l’introduzione di nuove attività o il coinvolgimento di nuovi partner, devono essere prontamente riportate. Un registro non aggiornato è inadeguato e può portare a sanzioni.