Ferrara - Emilia Romagna - Italia
+39 340 7828785
info@nicolanuzzi.it

Arriva il GDPR? Niente panico: c’è una soluzione per ogni azienda.

“E’ arrivato il GDPR! Lei è pronto?”.

E’ questa la domanda che gli imprenditori si sentono rivolgere più spesso da quando è entrato in vigore il nuovo Regolamento europeo sulla Protezione dei Dati personali.

Una domanda dal suono sinistro, che evoca interminabili pratiche burocratiche, infiniti moduli da riempire e firme da raccogliere, rischi legali di ogni tipo.

In realtà, la situazione è meno tragica di quanto si creda: ogni realtà aziendale può trovare il modo giusto di affrontare adeguatamente la protezione dei dati personali. Vi spiego come.

L’articolo 9 del nuovo Regolamento GDPR afferma con chiarezza che per trattare i “dati sensibili” (raccoglierli, organizzarli, gestirli, utilizzarli) è necessario il consenso esplicito dell’interessato. Il consenso – dice l’art. 22 – deve essere esplicito anche nel caso di procedimenti automatizzati, – quelli che più spesso incontriamo su internet – ivi compresa la profilazione.

“Ma cos’è di preciso un dato sensibile? E’ proprio necessario che la mia azienda sviluppi una politica per la privacy?”

Questa è la domanda che assilla ogni imprenditore.

La risposta è semplice: il GDPR – come si legge nell’articolo 1 – ha l’obiettivo di garantire la tutela dei dati delle persone fisiche. La tutela dei dati personali è considerata infatti un diritto fondamentale dell’individuo. Quindi, le politiche di privacy delle aziende devono rivolgersi alle persone fisiche, non alle persone giuridiche. Vi faccio un esempio.

Io sono un consulente informatico (molto bravo, ma questo è un altro discorso). Supponiamo che il Signor Ubaldo Ubaldi mi convochi a casa sua per sistemare la wi-fi domestica, che si comporta in modo strano. Per consentirmi di operare dovrà fornirmi una serie di dati personali – come minimo l’indirizzo di casa e il suo codice fiscale. Trattandosi di una persona fisica, io devo disporre di una procedura che tuteli i dati della persona fisica Ubaldo Ubaldi.

Poi Ubaldo vede quanto sono bravo, e il giorno dopo mi convoca nella propria impresa, la Ubaldo Ubaldi snc, per sistemare la intranet aziendale. Anche qui devo acquisire una serie di dati: partita iva, ragione soociale, telefono, mail, sede aziendale. Ma sono dati relativi a una persona giuridica (l’azienda) e quindi non richiedono una tutela particolare.

“Ah ecco! Quindi se tutti i clienti della mia azienda sono altre aziende non devo fare nulla?! Sono a posto!”.

No, un momento: c’è un altro caso da considerare. Se un’azienda ha dei dipendenti, anch’essi sono persone fisiche i cui dati vanno tutelati. I dipendenti della Ubaldo Ubaldi snc, per esempio, hanno fornito all’azienda: IBAN bancario per consentire il pagamento degli stipendi, codice fiscale, indirizzo, acquisizione dei certificati di malattia, ecc.

Essendo persone fisiche, i dipendenti hanno diritto di sapere:
– come l’azienda userà quei dati;
– come l’azienda conserverà quei dati;
– come l’azienda preserverà da illeciti quei dati;
– come e quando l’azienda eliminerà tali dati;
Quindi, l’azienda deve avere una politica per la privacy.

Riassumendo: se i clienti della tua azienda (che sia un albergo, una pizzeria d’asporto, un’officina meccanica o un’attività artigianale) sono persone fisiche, è necessario avere una privacy policy, e i clienti hanno diritto di conoscerla. Questo è tanto più vero se la tua azienda sviluppa per la clientela prodotti particolari come tessere sconto o fedeltà, raccolte punti, sconti di categoria ecc.

Invece: se i clienti della tua azienda sono altre aziende o persone giuridiche, ti resta da pensare solo ai tuoi dipendenti, la cui privacy va sempre e comunque tutelata.

Concludendo: non c’è una procedura standard o una “privacy standard minima” che garantisca tutto e tutti allo stesso modo. Diffidate di chi vi propone soluzioni universali “chiavi in mano” qualunque sia la vostra azienda.

L’obiettivo del GDPR è stimolare ogni realtà aziendale a prendere atto delle proprie criticità, rendere sicuri gli ambienti informatici di lavoro e garantire procedure di sicurezza capaci di rispondere attivamente a possibili problemi futuri, e non una soluzione passiva a problemi che si sono già presentati.

Insomma, avete bisogno di un consulente GDPR che vi offra soluzioni su misura: ed io, se volete, sarà ben lieto di operare al vostro fianco. Basta contattarmi.