Quali sono gli adempimenti privacy per le piccole imprese?

R: Le piccole imprese, così come le grandi, devono fare innanzitutto una valutazione dei rischi per la tutela dei dati personali derivanti dalla propria attività. Questo non è cambiato con l’entrata in vigore della nuova normativa europea, il noto GDPR.

Chiaramente la dimensione contenuta dell’azienda renderà meno impegnativo tale lavoro iniziale, ma dovranno comunque essere analizzati i vari processi aziendali, i flussi di dati personali, individuati i trattamenti e i soggetti esterni ed interni coinvolti, ecc.

Definita la situazione, vi dovrà essere una verifica di conformità alla normativa e alle disposizioni vigenti, primo fra tutti il nuovo Regolamento UE n. 2016/679 – GDPR – ma anche altre normative applicabili (es. provvedimenti generali e particolari del Garante, codici di autodisciplina, giurisprudenza, orientamento degli Organi di Vigilanza, indicazioni delle Autorità internazionali, ecc.), di tutti i trattamenti effettuati, delle relative finalità, modalità, e delle misure di sicurezza applicate.

Può darsi che in questa fase di verifica emergano situazioni che necessitano di adeguamento e/o ottimizzazione, per una miglior tutela degli interessi aziendali e/o dei terzi interessati, e per il rispetto delle normative e disposizioni vigenti in materia. Chiaramente gli adempimenti necessari variano molto in funzione delle diverse attività svolte e dalle caratteristiche peculiari delle singole imprese.

Il nuovo GDPR distingue le aziende non solo in relazione alla loro attività ma anche per la dimensione, esentando le aziende più piccole da una serie di obblighi, salvo casi del tutto particolari, ad esempio il registro dei trattamenti, la valutazione di impatto, e la nomina di un DPO, cioè Data Protection Officer.

Degni di particolare attenzione saranno i trattamenti effettuati, direttamente o tramite aziende terze, mediante strumenti informatici, siti web, mail, ecc. a fini commerciali e di marketing, come pure i trattamenti di dati relativi ai lavoratori e/o del pubblico (es. controllo accessi, videosorveglianza, ecc.).

Del lavoro svolto dovrà essere ovviamente tenuta adeguata documentazione, che andrà periodicamente verificata ed. aggiornata; ciò renderà possibile dimostrare di aver operato nel rispetto della Legge, in caso di controlli.