Il tema della privacy e del trattamento dei dati personali è vasto e complesso e certamente non basta un articolo per illustrarlo in modo esaustivo. Nonostante ciò, essere introdotti all’argomento può già fare molta differenza.

Infatti, sebbene il Regolamento (UE) 2016/679 sulla Protezione dei dati, il cosiddetto GDPR, sia in vigore da quasi tre anni, un altissimo numero di aziende e professionisti ancora lo trascura.

Uno dei motivi principali sta proprio nella difficoltà di capire cosa fare e perché valga la pena farlo.

Per chiarire le idee, offriremo ora una breve panoramica a tal proposito.

CAPIRE IL TRATTAMENTO DEI DATI PERSONALI

Ogni azienda o professionista è il Titolare del trattamento dei dati personali dei soggetti con cui viene in contatto per motivi legati alla propria attività.

Ingenuamente, molti Titolari credono di non esserlo affatto, di non trattare alcun dato personale. Ma qualsiasi attività abbia clienti, dipendenti, collaboratori esterni, fornitori, followers sui social, utenti del sito, ha a che fare con i loro dati personali.

E questi dati devono essere trattati nel rispetto del GDPR .

Il primo passo da fare è quindi capire quali siano le tipologie di dati con cui si ha a che fare: pensiamo a quali siano le informazioni che chiediamo più spesso ai soggetti con cui interagiamo per motivi legati alla nostra attività.

Compreso questo, possiamo poi individuare le attività di trattamento. Per farlo, consideriamo i seguenti aspetti:

– come raccogliamo i dati (gli utenti del nostro sito devono compilare un form? I clienti del nostro negozio ci lasciano nome, numero di telefono o indirizzo email compilando delle schede o siamo noi a inserire i dati in un computer?;

– perché li raccogliamo (ci servono per erogare il nostro prodotto/servizio? Per fare marketing? Per statistica?);

– se abbiamo il permesso di raccoglierli (i soggetti di cui disponiamo i dati, sanno che li abbiamo e perché?)

– come li conserviamo (abbiamo una rubrica cartacea dove prendiamo nota delle informazioni personali? Utilizziamo dei foglietti volanti? Abbiamo un file excel nel nostro computer? Li conserviamo in un servizio cloud?);

– per quanto tempo li conserviamo (li cancelliamo appena la motivazione per cui li abbiamo raccolti è conclusa, oppure li teniamo ancora?).

Fatto ciò, possiamo passare allo step successivo.

VALUTARE LA SITUAZIONE

Ora che sappiamo quali sono i dati che raccogliamo e come li trattiamo, possiamo analizzare più a fondo la situazione e:

– rivedere i materiali con cui informiamo i soggetti della raccolta e del trattamento dei loro dati personali (schede, contratti, form online, ecc.);

– verificare di avere il loro consenso al trattamento dei dati. Non tutte le attività richiedono un consenso esplicito: i dati che risultano necessari all’erogazione del bene/servizio non lo richiedono. In questo caso il trattamento sarà garantito dall’esistenza di un contratto;

– verificare in quali archivi conserviamo i dati;

– rivedere le politiche di cancellazione (come distruggiamo i dati raccolti).

Questa analisi ci aiuta a individuare i punti deboli del nostro sistema e, quindi, valutare con più chiarezza i rischi.

INDIVIDUARE I RISCHI

Quando si parla di trattamento dei dati personali, i rischi principali sono: il furto, la perdita, la modifica o l’accesso non autorizzati.

È importante valutare tutti gli scenari possibili che potrebbero verificarsi e gli effetti negativi sui diritti e le libertà dei soggetti che hanno concesso i loro dati.

Non è un’attività semplice, soprattutto perché non esistono delle misure di sicurezza standard: ogni azienda e ogni professionista ha le proprie peculiarità.

Non potendoci addentrate a dovere nel tema della gestione dei rischi, vogliamo almeno indicarvi qualche buon consiglio per migliorare la sicurezza dei sistemi informatici, consapevoli che ormai gran parte dei dati viene conservata in digitale.
A volte bastano piccoli accorgimenti per portare grandi risultati. Tra questi:

– dotare i pc di un buon antivirus,
– installare un firewall,
– scegliere password complesse e cambiarle con regolarità,
– fare un backup periodico dei dati per proteggere i dati da incidenti fisici o tecnici alla strumentazione;
– verificare regolarmente che tutto funzioni a dovere;
– investire nella formazione e nell’aggiornamento del personale. Un’azienda o uno studio possono dotarsi di tutti i sistemi di sicurezza informatica più all’avanguardia, ma se il personale adotta condotte pericolose (per esempio, in tempi di smart working, utilizzare il pc di casa, meno protetto, per connettersi ai sistemi aziendali) tutto risulterà vano.

Per una valutazione realistica dei rischi e un piano di adeguamento al GDPR è sempre bene rivolgersi a personale esperto. Qui in Culturazienda abbiamo predisposto un servizio Privacy completamente personalizzato. Chiedi informazioni scrivendo a studio@culturazienda.it.

———

LEGGI ANCHE:

Trattamento dei dati e consenso per un sito a prova di privacy

Incidenti informatici e COVID: preoccupate le aziende italiane