Manca una settimana all'entrata in vigore di GDPR, il nuovo regolamento europeo sulla protezione dei dati personali: un tema al quale abbiamo dedicato numerosi articoli su questo blog. GDPR in pratica impone a tutte le aziende di adeguare le proprie procedure di raccolta, utilizzo e conservazione di qualunque dato riferito a persone, compresi clienti, fornitori e dipendenti. La scadenza è vicina, le sanzioni salate, ma la confusione sull'applicazione delle norme è ancora tanta. In questo post prendiamo alcuni casi concreti di trattamento dei dati comuni alla maggior parte delle aziende e individuiamo le disposizioni previste da GDPR.
Cliccando qui potrete scaricare inoltre una check list con cui verificare se siete pronti a GDPR.
Trattamento di dati di clienti e/o fornitori per adempiere ad un obbligo contrattuale o fornire una prestazione di beni/servizi (ragione sociale, generalità e recapiti, codice fiscale e/o partita Iva, estremi bancari, ecc.).
Tali trattamenti sono necessari per la definizione dell'accordo contrattuale e per la sua successiva attuazione. Pertanto occorre informare il cliente, ma non è richiesto il suo consenso. (Tranne nel caso in cui siano conferiti dati "sensibili", p. es. relativi alla salute). In caso di rifiuto a conferire i dati personali, tutti o alcuni servizi non potranno essere forniti.
Trattamento di dati per adempiere ai vigenti obblighi amministrativi, contabili e fiscali (generalità e recapiti, codice fiscale e/o partita Iva. estremi bancari, ecc.).
Occorre informare il cliente, ma per tali finalità il trattamento è effettuato senza necessità di acquisirne il consenso. Occorre inoltre informarlo che alcuni dati vengono comunicati a terzi in adempimento ad obblighi di legge (p.es. lo spesometro). In caso di rifiuto a conferire i dati personali, i servizi non potranno essere forniti.
Trattamento di dati dei clienti effettuato per inviare newsletter messaggi promozionali e pubblicità in genere (mail, numero di cellulare, ecc...).
Per tale finalità il cliente deve esprimere il consenso al trattamento, revocabile in qualsiasi momento. L'azienda deve stabilire un termine massimo per la conservazione di tali dati da riportare nell'informativa.
Per mettere GDPR in pratica vi consigliamo di censire tutte le banche dati aziendali in cui sono registrati dipendenti, clienti e fornitori. A partire da quelle che possono apparire più scontate. Tra queste Home banking, Agenzia delle Entrate, INPS, INAIL, Enasarco qualora ci si avvalga di agenti, CONAI, Camera di commercio e Associazioni di Categoria. Vanno considerati anche i dati inseriti nei software in uso. Ivi compresi programmi per posta elettronica, software utilizzati direttamente su browser, gestionali e CRM, software per la gestione del magazzino e la fatturazione...
Le misure di sicurezza da adottare devono essere individuate dal titolare del trattamento. Tali misure, tecniche e organizzative, vengono assunte in rapporto ai rischi individuati in fase di analisi. Devono garantire, in modo dimostrabile, che il trattamento è effettuato conformemente al Regolamento europeo. Questo tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento. Nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.
Dopo il 25 maggio non sussisteranno più obblighi generalizzati di adozione di misure minime di sicurezza (vedi alleg. B del Codice della privacy). Tuttavia è corretto presumere che saranno consigliate come buone prassi e, che siano da mantenere. È consigliato inoltre censire tutte le dotazioni in uso, verificare frequenza e effettivo funzionamento dei backup, firewall, antivirus.
Siamo a disposizione per offrirvi tutta la consulenza necessaria a mettere in regola la vostra azienda dal punto di vista della tutela dei dati e della privacy in vista della scadenza del 25 maggio 2018. Per qualsiasi informazione, contattaci. Ci trovi ad Arzignano, in provincia di Vicenza.
