GDPR compliant

Guida completa al GDPR compliant: Passaggi essenziali per le aziende

Per GDPR compliant si intende la conformità dell’azienda al GDPR.

Il GDPR (General Data Protection Regulation) è una normativa europea, entrata in vigore nel 2018, che ha l’obiettivo di tutelare i dati personali e la privacy dei cittadini europei. Tutte le aziende che raccolgono ed elaborano dati personali (come, ad esempio, nomi, email, indirizzi IP e dati sanitari), sono tenute ad essere GDPR compliant.

Per essere conformi alla normativa, l’impresa deve attuare una serie di misure, politiche e procedure che garantiscano la sicurezza dei dati, la trasparenza su come questi vengono utilizzati e la tutela dei diritti degli individui riguardo al loro accesso e controllo.

Con questo articolo vogliamo guidare le imprese attraverso i passaggi necessari per rispettare il GDPR, aiutandole a comprendere le misure chiave da adottare per garantire la conformità, evitando così sanzioni e proteggendo la reputazione aziendale.

⭐ E’ importante ricordare che il GDPR non impone delle regole precise da rispettare ma delle linee guida attorno alle quali il titolare del trattamento dei dati (ovvero l’imprenditore), dovrà costruire, in modo autonomo o avvalendosi di esperti e consulenti, un sistema di Privacy aziendale rispettoso delle indicazioni generali.

Cosa significa essere Compliant al GDPR? Tutto quello che devi sapere

Essere “compliant” al GDPR significa che un’azienda è pienamente conforme alle disposizioni imposte dal Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea. Per essere “compliace”, l’azienda deve aver adottato e rispettato tutte le misure necessarie per garantire che i dati personali in suo possesso siano stati trattati in modo lecito e trasparente, nel pieno rispetto dei diritti degli interessati.

Definizione di “compliance” in ambito GDPR

Per essere GDPR compliant, l’azienda deve implementare politiche e processi aziendali secondo il principio di accountability (responsabilizzazione), dimostrando la conformità ai requisiti legali per la protezione dei dati personali. Questo include:

• Raccolta e trattamento dei dati personali secondo i principi di minimizzazione

• Consenso esplicito e documentabile

• Tutela dei diritti degli interessati

• Implementazione di misure tecniche e organizzative per la sicurezza dei dati

• Gestione e notifica dei Data Breach

• Mantenimento del registro delle attività di trattamento

⭐ In seguito andremo ad analizzare tutte le sfaccettature relative a questi argomenti. Per avere uno sguardo completo su tutte le definizioni e i concetti base sul GDPR, puoi leggere l’articolo che abbiamo scritto cliccando qui.

Implicazioni legali e operative per le aziende

Per garantire la conformità al GDPR, il titolare del trattamento deve adottare un approccio proattivo e preventivo che influenza l’organizzazione aziendale sia a livello legale che operativo. In particolare, dovrà:

1. Mappare i flussi di dati e mantenere un registro dei trattamenti
2. Nominare un DPO (Data Protection Officer) nei casi previsti dalla normativa
3. Adottare un approccio “Privacy by Design” e “Privacy by Default”
4. Effettuare valutazioni d’impatto sulla protezione dei dati (DPIA) quando necessario
5. Implementare misure tecniche e organizzative appropriate per garantire la sicurezza
6. Aggiornare e gestire le informative sulla privacy
7. Garantire l’esercizio dei diritti degli interessati, inclusi portabilità ed eliminazione dei dati

⭐ In seguito vedremo tutti questi aspetti in modo più approfondito

Passaggio 1: Valutare il trattamento dei dati personali

1.1 Valutare la finalità del trattamento:

Una delle domande cardine a cui il titolare del trattamento dei dati deve rispondere è: 

“Per quale motivo sto raccogliendo questi dati, quali sono le finalità del trattamento dei dati personali?”

Ogni trattamento di dati personali deve avere una finalità specifica, chiara e legittima. Sarà dunque essenziale domandarsi se l’utilizzo di questi dati sia effettivamente utile per fornire il servizio, per rispettare un obbligo legale, ecc…

1.2 Principio di minimizzazione:
Uno dei principi da rispettare per evitare di esporsi a maggiori rischi (soprattutto in caso di Data Breach), è quello di minimizzazione. Questo principio prevede di raccogliere solo i dati realmente e strettamente necessari per gli scopi e le finalità del trattamento dei dati, evitando, quindi, di raccogliere dati superflui e in eccesso. 

1.3 Controllare la base giuridica del trattamento:
Informarsi sull’eventuale base legale che legittimi il trattamento dei dati (ad esempio: consenso, obblighi contrattuali e/o legali, interessi legittimi).

Consigli operativi:

• Condurre regolari valutazioni per garantire che la raccolta di dati sia proporzionata e pertinente.
• Redigere un documento di “valutazione del trattamento” per ogni tipo di dato personale gestito, che giustifichi il motivo della raccolta e l’uso.

Passaggio 2: Garantire il consenso degli utenti

2.1 Il consenso deve essere valido:

Il GDPR richiede che “il consenso al trattamento dei dati personali sia esplicito, libero, informato e revocabile in qualsiasi momento”.

• Esplicito: l’utente deve esprimere la propria volontà di acconsentire al trattamento dei propri dati personali in maniera attiva.
• Libero: l’individuo deve poter decidere volontariamente di cedere i propri dati, senza alcun tipo di pressione o costrizione.
• Informato: l’utente deve essere pienamente consapevole di ciò a cui sta acconsentendo. Dovrà quindi ricevere tutte le informazioni necessarie al riguardo.
• Revocabile in qualsiasi momento: L’interessato ha il diritto di revocare in qualsiasi momento il proprio consenso con conseguente eliminazione di tutti i dati prestati.

2.2 Modalità per ottenere il consenso:

L’azienda deve utilizzare meccanismi chiari e trasparenti per ottenere il consenso. Può essere un modulo cartaceo precompilato da firmare, un modulo digitare con checkbox non pre-selezionate. L’importante è che sia dichiarato che l’utente sta dando il suo consenso al trattamento dei propri dati (lo stesso utente deve avere la possibilità di rifiutare il consenso senza conseguenze negative).

2.3 Conservare le prove del consenso:
L’azienda deve sempre mantenere una traccia di quando e come è stato ottenuto il consenso (essenziale in caso di controlli). Nel caso venga utilizzato un modulo cartaceo, sarà obbligatorio mantenere una copia firmata del consenso.

Consigli operativi per la gestione del consenso:

• Evitare assolutamente caselle pre-spuntate o consenso implicito
• Utilizzare scanner automatici per rilevare e categorizzare i cookie presenti sul sito

Sui moduli di richiesta del consenso:

• Utilizzare un linguaggio semplice e comprensibile
• Evitare paragrafi lunghi e complessi
• Rendere la check-box “Rifiuta” ugualmente visibile e accessibile quanto quella “Accetta”

In merito alla documentazione e conservazione:

• Mantenere un registro dettagliato dei consensi ottenuti
• Conservare prove documentali del consenso ottenuto
• Prevedere procedure automatizzate per la gestione delle revoche

Per la conformità normativa:

• Aggiornare regolarmente i moduli di consenso in base alle modifiche normative
• Prevedere procedure specifiche per il trattamento dei dati dei minori

Passaggio 3: Informare gli utenti in modo trasparente

L’informativa rappresenta una comunicazione obbligatoria che deve essere fornita all’interessato prima di iniziare qualsiasi trattamento dei suoi dati personali. Non si tratta di una mera formalità, ma di uno strumento essenziale per garantire la trasparenza e permettere all’interessato di esercitare un controllo effettivo sui propri dati.

Per essere conforme al GDPR, l’informativa deve essere:

• Concisa e trasparente
• Facilmente accessibile
• Scritta in linguaggio chiaro e semplice
• Fornita gratuitamente

3.1 Creare un’informativa sulla privacy chiara e dettagliata:

Questa informativa dovrà contenere tutti i dettagli (spiegati in modo semplice) sulle finalità del trattamento dei dati specificando la base giuridica del trattamento, quali dati vengono raccolti, i diritti dell’utente, come verranno tratti i dati e per quanto tempo verranno conservati.

3.2 Cosa includere nell’informativa:

Informazioni sul Titolare:

• Identità e contatti del titolare del trattamento
• Contatti del DPO (se presente)

Informazioni sul Trattamento:

• Finalità specifiche del trattamento
• Base giuridica del trattamento
• Legittimo interesse (se applicabile)
• Periodo di conservazione dei dati
• Eventuali trasferimenti dei dati extra-UE

Diritti dell’Interessato:

• Diritto di accesso ai dati
• Diritto di rettifica e cancellazione
• Diritto alla portabilità dei dati
• Diritto di opposizione al trattamento
• Diritto di revoca del consenso
• Diritto di reclamo all’autorità di controllo

Informazioni Aggiuntive:

• Esistenza di processi decisionali automatizzati
• Obbligatorietà del conferimento dei dati
• Conseguenze del mancato conferimento
• Categorie di destinatari dei dati

Consigli operativi:

Eseguire controlli periodici per garantire che le informative siano sempre aggiornate.

Creare un’informativa specifica per ogni canale di raccolta (es. sito web, app mobile, moduli cartacei).

Passaggio 4: Mappare i dati personali

4.1 Identificare i dati personali trattati:

Identificare esattamente quali dati vengono trattati nella nostra azienda.

⭐ Un dato personale è qualsiasi informazione (nome, cognome, numero di telefono, indirizzo IP, email, dati sanitari, etc.) che possa identificare in modo diretto o indiretto una persona fisica.

Dati identificativi diretti:

• Nome e cognome
• Immagini e fotografie
• Registrazioni vocali
• Video

Identificativi indiretti:

• Codice fiscale
• Indirizzo IP
• Numero di targa
• Numero di telefono
• Email

Dati sensibili o particolari:

• Origine etnica e razziale
• Opinioni politiche
• Convinzioni religiose
• Dati sanitari
• Orientamento sessuale
• Dati biometrici
• Dati genetici

Altri dati personali:

• Abitudini di consumo
• Stile di vita
• Situazione economica
• Relazioni personali
• Dati di geolocalizzazione
• Dati relativi alle comunicazioni elettroniche

4.2 Mappatura del flusso dei dati:
Origine e modalità di acquisizione:

• Moduli online
• Email
• Sistemi CRM
• Software gestionali
• Documenti cartacei
• Telecamere di videosorveglianza

Archiviazione e conservazione:

• Database interni
• Cloud storage
• Archivi fisici
• Tempi di conservazione per ogni categoria di dati
• Misure di sicurezza implementate

Ruoli e responsabilità:

• Titolare del trattamento
• Responsabile del trattamento
• Sub-responsabili
• Persone autorizzate al trattamento
• Destinatari dei dati

Trasferimenti dei dati:

• Flussi interni all’organizzazione
• Comunicazioni a terzi
• Eventuali trasferimenti extra-UE
• Garanzie adottate per i trasferimenti

Consigli operativi:

• Implementare software specifici per la mappatura e il monitoraggio dei dati
• Mantenere un registro centralizzato dei trattamenti costantemente aggiornato
• Classificare i dati in base alla loro natura (comuni, sensibili, giudiziari)
• Documentare le basi giuridiche per ogni categoria di trattamento
• Prevedere procedure di revisione periodica della mappatura
• Implementare un sistema di gestione delle autorizzazioni per l’accesso ai dati
• Documentare le misure di sicurezza tecniche e organizzative adottate

⭐ È fondamentale che questa mappatura sia costantemente aggiornata e rifletta accuratamente la realtà operativa dell’azienda, costituendo la base per garantire la conformità al GDPR.

Passaggio 5: Designare un DPO (Data Protection Officer)

5.2 Chi è il DPO:
Il DPO (Data Protection Officer) è una figura esperta su normative e pratiche di protezione dei dati, che avrà il compito di controllare che le scelte prese dall’azienda siano pienamente conformi al GDPR. Si occuperà quindi di fornire consigli e indicazioni, condurre audit e agire come punto di contatto con le autorità di protezione dei dati.

5.1 Quando è obbligatorio nominare un DPO?:
Un DPO è obbligatorio:

• Se il trattamento dei dati viene eseguito da un’autorità o un ente pubblico (ad eccezione delle autorità giudiziarie quando svolgono funzioni legate ai processi legali)
• Per aziende che trattano dati su larga scala o processano dati sensibili (es. quelli legati alla salute, alle opinioni politiche o alle credenze religiose).

Consigli operativi:

• Anche se non è obbligatorio, nominare un DPO può essere una scelta strategica per tutte le imprese, al fine di garantire una gestione centralizzata della conformità.
• Il DPO deve essere sempre aggiornato sulle ultime normative e best practice GDPR.

Passaggio 6: Implementare misure di sicurezza

6.1 Crittografia dei dati:

Per innalzare gli standard di sicurezza è buona prassi crittografare i dati così da prevenire data breach sia in fase di archiviazione che di trasmissione.

La crittografia, sebbene non sia obbligatoria secondo il GDPR, rappresenta una delle misure di sicurezza più efficaci.

La crittografia è particolarmente importante per:

• Proteggere i dati in transito (es. trasmissioni via web, email)
• Securizzare i dati a riposo (archivi, backup)
• Proteggere i dispositivi mobili aziendali

⭐ Crittografare i dati: convertire i dati da testo in chiaro in testo cifrato codificato.

6.2 Controllo degli accessi:
Devono poter avere accesso ai dati solo il Titolare, il Responsabile, il DPO e i dipendenti formati che ne hanno bisogno per svolgere specifiche funzioni lavorative.

E’ importante che l’accesso ai dati sia rigidamente controllato con sistemi di autenticazione a più fattori.

In pratica, il controllo degli accessi deve seguire il principio del minimo privilegio:

• Accesso limitato solo al personale autorizzato
• Autenticazione forte per tutti gli utenti
• Registrazione e monitoraggio degli accessi
• Procedure di revoca immediate in caso di cambio mansioni

6.3 Backup e protezione contro violazioni:

E’ buona norma adottare un piano di background regolare e cadenzato, così da avere un “accesso di sicurezza” e poter ripristinare le informazioni in caso di incidente informatico.

Consigli operativi:

• Creare una policy di sicurezza interna che includa anche formazione obbligatoria sulla sicurezza informatica per i dipendenti (obbligatoria per tutti i lavoratori che avranno accesso ai dati).
• Utilizzare software di gestione delle password per aumentare la protezione degli account.

Passaggio 7: Gestione delle violazioni dei dati

7.1 Cosa fare in caso di data breach:

Data Breach: con questo termine ci si riferisce a casi di distruzione, perdita, modifica, divulgazione o accesso non autorizzato ai dati personali trasmessi, conservati o comunque trattati.

L’azienda deve avere un piano di emergenza in caso di Data Breach che permetta di identificare, contenere e risolvere la violazione nel più breve tempo possibile

7.2 Notificare le autorità di protezione dei dati entro 72 ore:
In caso di violazione significativa, le aziende devono informare il Garante per la protezione dei dati personali entro 72 ore.

L’azienda è tenuta a notificare l’eventuale Data Breach al garante per la protezione dei dati personali solo nel caso in cui le violazioni dei dati personali possano portare a:

• perdita finanziaria,
• limitazione di alcuni diritti, 
• perdita del controllo sui dati,
• furto d’identità,
• discriminazione, 
• perdita di riservatezza dei dati personali protetti da segreto professionale,
• rischio di frode,
• danno alla reputazione,
• qualsiasi altro significativo svantaggio economico o sociale.

7.3 Notificare gli utenti interessati:

L’azienda è tenuta a informare tempestivamente gli individui interessati al trattamento dei dati dell’eventuale Data Breach

Consigli operativi:

• Creare un protocollo di gestione delle violazioni, con una squadra dedicata che possa rispondere immediatamente in caso di incidente.
• Tenere un registro dettagliato delle violazioni, anche minori, per migliorare i processi di sicurezza.

Passaggio 8: Valutazione d’Impatto sulla protezione dei dati (DPIA)

8.1 Cos’è una DPIA e quando è necessaria:
DPIA (Data Protection Impact Assessment) è la valutazione d’impatto sulla Protezione dei Dati.

Questa procedura è obbligatoria quando il trattamento dei dati può comportare un rischio elevato per i diritti e le libertà degli interessati, come nei casi di sorveglianza sistematica o trattamento di dati sensibili su larga scala.

La DPIA deve essere effettuata prima di iniziare il trattamento vero e proprio dei dati personali.

8.2 Come condurre una DPIA:
Identificare i rischi associati al trattamento dei dati, valutarne la probabilità e l’impatto, e proporre misure per mitigarli.

Consigli operativi:

• Utilizzare tool automatizzati per gestire la DPIA e assicurarsi che siano coinvolti tutti i reparti aziendali pertinenti.
• Integrare la DPIA nei processi aziendali già esistenti, ad esempio nelle fasi di sviluppo di nuovi prodotti o servizi.

Passaggio 9: Assicurare la portabilità dei dati

9.1 Diritto alla portabilità dei dati:

L’interessato deve avere la possibilità di richiedere una copia dei propri dati personali in un formato leggibile, strutturato e può altresì decidere di trasferirli a un altro fornitore di servizi.

Consigli operativi:

• Creare una procedura interna per gestire in modo tempestivo le richieste di portabilità, assicurando che i dati vengano forniti in un formato compatibile e standard.

Passaggio 10: Formazione e consapevolezza interna

Formazione del personale

L’incaricato del trattamento (ovvero un dipendente che viene autorizzato al trattamento dei dati personali) deve essere accuratamente formato in materia di privacy e trattamento dei dati. Questa formazione deve essere continua e aggiornata.

Creare una cultura della Privacy

Cercare di promuovere una cultura della protezione dei dati in tutta l’azienda e su tutti i livelli, al fine di gestire il trattamento dei dati in maniera legittima e sempre conforme alle normative.

Consigli operativi:

• Organizzare sessioni di formazione annuali obbligatorie, con aggiornamenti regolari.
• Creare una cultura aziendale orientata alla protezione dei dati, integrando la privacy nei programmi di formazione di tutti i dipendenti.

Passaggio 11: Audit e monitoraggio continuo

Audit regolari

Una volta creato un sistema di acquisizione e archiviazione dei dati “GDPR Compliant”, è necessario predisporre degli audit periodici che abbiano la finalità di verificare che le politiche e le procedure siano effettivamente adeguate e rispettate

Aggiornamento delle procedure

In seguito ad evoluzioni e cambiamenti delle esigenze aziendali, oltreché eventuali modifiche delle normative, potrebbe essere necessario aggiornare le procedure del trattamento dei dati, così da essere sempre in linea con le disposizioni del GDPR.

Consigli operativi: 

• Organizzare delle verifiche periodiche, coinvolgendo il DPO, per comprendere lo stato di evoluzione delle politiche attuate.
• Grazie alla collaborazione con un DPO o consulenti esterni costantemente aggiornati, predisponi le modifiche adeguate in caso di cambiamenti aziendali o novità nelle normative. 

Sanzioni per Data Breach e mancata conformità

Le sanzioni previste in caso di non conformità al GDPR sono particolarmente severe, con multe che possono arrivare fino a:

• 2% del fatturato globale annuo dell’azienda o 10 milioni di euro (a seconda di quale dei due importi sia maggiore) per violazioni minori.
• 4% del fatturato globale annuo dell’azienda o 20 milioni di euro (a seconda di quale dei due importi sia maggiore) per violazioni più gravi.

In casi gravi, possono essere previste anche sanzioni penali per il trattamento illecito dei dati personali, con pene che includono la reclusione.

Si può incorrere, inoltre, in sanzioni penali (come la reclusione) nei casi più gravi; come ad esempio il trattamento illecito dei dati personali.

Oltre alle sanzioni economiche e penali, le aziende che vengono dichiarate NON GDPR Compliant, vanno incontro a spiacevoli conseguenze negative che spaziano dal peggioramento della reputazione aziendale, fino ad eventuali azioni legali e perdita di fiducia da parte di clienti, fornitori e dipendenti.

Essere GDPR compliant, dunque, non è solo un obbligo legale, ma una vera e propria dimostrazione dell’impegno dell’azienda verso la protezione della privacy, volta a costruire una relazione di fiducia con i clienti, i dipendenti e i partner commerciali.

Rendi la tua impresa GDPR compliant

Dopo aver esaminato l’intero procedimento per essere “GDPR compliant”, risulta evidente quanto la conformità a questa normativa non si esaurisca con un semplice intervento iniziale. L’azienda dovrà essere costantemente aggiornata e preparata ad affrontare eventuali cambiamenti nella normativa o modifiche nell’organizzazione della stessa. Un processo continuo che richiede attenzione, aggiornamento continuo, collaborazione e una cultura aziendale orientata alla protezione dei dati su tutti i livelli.

Affidarsi a consulenti esperti che sappiano guidare ogni impresa (con le peculiarità del caso) verso la GDPR Compliant, è una prerogativa oramai imprescindibile che nessuno può permettersi di tralasciare.

In seguito ad aggiornamenti tecnologici, evidenti lacune nel sistema di trattamento dei dati personali e organizzazioni che lucrano sulla compravendita degli stessi, la disciplina in tema GDPR sta diventando sempre più restrittiva con sanzioni che possono arrivare ad importi molto elevati.

Il processo per adempiere a tutti gli obblighi imposti ed essere definitivamente GDPR compliant risulta, quindi, molto complesso. Proprio per questo, anche noi di Studio Campesato, ci avvaliamo di figure professionali altamente specializzate in discipline quali Privacy e GDPR. Grazie alla collaborazione con veri specialisti del settore tutte le aziende che scelgono di affidarsi a noi avranno la possibilità di accedere a un servizio di consulenza completo e altamente professionale: dalla valutazione iniziale, passando per le procedure obbligatorie e gli aggiornamenti costanti nel corso del tempo. L’unica misura realmente efficace per evitare sanzioni e complicazioni, con la garanzia di essere, in via definitiva, GRPR Compliant.

Contattaci oggi stesso, compila il form qui sotto per ricevere maggiori informazioni e ottenere un’analisi completa delle tue esigenze in materia di GDPR!

Il presente articolo, non essendo rivolto agli specialisti del diritto del lavoro, è stato deliberatamente redatto con un linguaggio semplice e uno stile divulgativo, senza l’ambizione di esaurire l’argomento trattato.