I requisiti della normativa sulla protezione dei dati si applicano anche alle Piccole e Medie Imprese. Le imprese produttive, anche quelle di piccola o media dimensione, trattano dati personali e non possono esimersi dall’obbligo di adeguarsi. Si pensi, ad esempio, a tutte le informazioni relative alla gestione delle risorse umane o alla videosorveglianza.
Il processo di adeguamento al GDPR rappresenta un’opportunità per semplificare e rendere più efficienti i processi, proteggendo contestualmente tutto il patrimonio informativo aziendale, con significativi benefici in termini di costi, protezione del patrimonio intellettuale, riduzione di tempi e protezione da attacchi informatici. Per poter assicurare l’adeguamento dell’azienda e allo stesso tempo rendere più efficiente la gestione delle informazioni aziendali serve competenza ed esperienza.
Non avendo al proprio interno una risorsa specializzata nella gestione dei rischi legati alla privacy spesso le piccole e medie aziende si ritrovano bombardate dalle centinaia di offerte di consulenza e non sanno dove o come identificare le migliori risorse nel campo della gestione delle informazioni e protezione dei dati.
Con la definitiva applicazione del GDPR si passa da una concezione statica e formalistica, a un sistema dinamico, sostanziale e incentrato sul principio di accountability. Questa rivoluzione richiede un approccio multidisciplinare, con l’integrazione di competenze specialistiche di natura legale, organizzativa e tecnica.
Pertanto il processo di adeguamento rappresenta una fase fondamentale, che se non viene adeguatamente affrontata, può determinare l’imposizione di pesanti sanzioni.
La fase di adeguamento, oltre a costituire un adempimento, può però anche essere un’opportunità per semplificare e rendere più efficienti i processi, proteggendo contestualmente tutto il patrimonio informativo aziendale, con significativi benefici in termini di costi e di tempo.
Non bisogna poi dimenticare che un elevato livello di compliance impatta positivamente anche dal punto di vista reputazionale: un’azienda sensibile al tema della protezione dei dati, non soltanto personali, viene percepita da clienti e fornitori come una realtà affidabile e innovativa.
Se la mia azienda od organizzazione non rispetta i requisiti del GDPR sulla protezione dei dati e sulla sicurezza informatica le possibilità di sanzioni da parte del Garante comprendono:
• un ammonimento;
• un divieto temporaneo o definitivo di trattamento dei dati personali;
• una sanzione pecuniaria fino a 20 milioni di euro oppure, ove maggiore, pari al 4% del fatturato annuo mondiale dell’azienda.
Sono sanzioni molto cospicue che indicano alle aziende una chiara strada da seguire: proteggere i dati aziendali e personali ad ogni costo, anche in considerazione del fatto che la transizione all’industria 4.0 richiede la raccolta e trattamento di dati, anche relativi agli individui, sempre maggiore. La direzione di ogni impresa deve quindi essere incentrata sul rispetto della Privacy e del Regolamento Generale sulla Protezione dei Dati (GDPR).
I progetti di conformità al GDPR non terminano una volta raggiunto un primo adeguamento ai requisiti della normativa sulla protezione dei dati. Completata questa prima fase, occorre pensare a come tenere aggiornato e revisionato il sistema di gestione dei dati personali aziendale.
Il GDPR infatti richiede che il Titolare e il Responsabile del trattamento garantiscano costantemente un livello adeguato di protezione dei dati personali trattati. Su base periodica, e ogniqualvolta intervengano mutamenti dei sistemi informatici o dei processi aziendali che possono avere un impatto sulle attività di trattamento dei dati personali, è necessario:
• Sottoporre a revisione, aggiornare ed eventualmente integrare la documentazione obbligatoria;
• Sottoporre a revisione, aggiornare ed eventualmente implementare le misure organizzative;
• Sottoporre a revisione, aggiornare ed eventualmente implementare le misure tecniche e di sicurezza: (analisi dei rischi & DPIA Data Protection Impact Assessment), autenticazione, gestione delle reti, gestione dei log, incident management, gestione dispositivi mobili, sicurezza dei server, sicurezza dei siti web, etc…).
A tale scopo, la consulenza offerta dagli specialisti di Docuverse costituisce essa stessa una misura organizzativa, che contribuisce al rispetto del principio di accountability e facilita una corretta gestione di questi delicati adempimenti.
Nel maggio 2018 è entrato in vigore il Regolamento generale sulla protezione dei dati personali “GDPR”. Dopo una prima fase di adeguamento, ora è il momento di pensare a come tenere aggiornato e revisionato il sistema di gestione dei dati personali in azienda. La formazione del personale costituisce una delle principali misure organizzative che permette di dimostrare l’osservanza del principio di accountability, ed è fondamentale per accrescere la consapevolezza di chi tratta dati personali, nonché per evitare di incorrere in pesanti sanzioni. La nostra offerta di formazione include:
• Modulo “GDPR - Formazione base”
• Modulo “Le basi della sicurezza delle informazioni”
• Modulo “GDPR applicato alla gestione delle risorse umane”
• Modulo “ GDPR per marketing & commerciali”
• Modulo “Protezione dei dati e industria 4.0.”
Una delle principali novità del GDPR consiste nell'introduzione dell'obbligo per il Titolare del trattamento di effettuare la valutazione di ogni violazione dei dati personali subita e, al ricorrere di alcuni presupposti e senza ingiustificato ritardo, di notificare all'Autorità Garante o comunicare alle singole persone fisiche coinvolte tutti i data breach che rappresentano un rischio elevato per le libertà e i diritti degli individui coinvolti.
In ogni caso, a prescindere dagli obblighi, occorre documentare tali violazioni, nel rispetto del principio di accountability.
L’inosservanza di queste prescrizioni può comportare l’imposizione di una sanzione pecuniaria fino a 10.000.000 €, oppure fino al 2% del fatturato totale, se superiore.
Non esistono soltanto gli attacchi informatici, peraltro sempre più all’ordine del giorno e con conseguenze potenzialmente devastanti per le imprese. Anche il semplice smarrimento di un pc aziendale può configurare una violazione di dati personali da non sottovalutare. Oramai la domanda non è più cosa fare se si verifica un data breach, bensì cosa fare quando si verifica.
Hai installato un sistema di videosorveglianza, o vuoi installarne uno, e non sai cosa fare per adeguarlo ai requisiti della normativa vigente?
La videosorveglianza è un’attività di sorveglianza che comporta rischi elevati per la privacy delle persone e che quindi richiede che il titolare del trattamento la disciplini secondo le regole e i principi del GDPR e del Codice della Privacy.
Considerata la diffusione di tali strumenti e i rischi per la privacy delle persone, il Garante ha definito che devono essere sottoposti a valutazione di impatto sulla protezione dei dati tutti i trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi di tecnologici dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti. Quindi, tale obbligo non si applica esclusivamente ai sistemi di videosorveglianza, ma anche ai sistemi di geolocalizzazione e a tutti i sistemi da cui possa derivare un controllo dell’attività dei lavoratori.
Ove non fosse già stata effettuata, la valutazione d’impatto sulla protezione dei dati è richiesta non solo per i nuovi sistemi ancora da installare, ma anche per i sistemi che sono già stati attivati.
La valutazione di impatto sulla protezione dei dati personali è inoltre un requisito dell’art 35 del GDPR ed è uno strumento fondamentale per dimostrare l’adeguamento ai requisiti dell’art 25 del GDPR, che richiede che il titolare del trattamento dei dati assicuri la protezione dei dati personali fin dalla progettazione di processi e sistemi (Privacy by design e by default).
La videosorveglianza e la geolocalizzazione sono attività alla quali le aziende ricorrono non solo per ragioni di tutela, ma anche per l’organizzazione dell’attività produttiva. Tuttavia, l’utilizzo di tali strumenti potrebbe incidere pesantemente sulle libertà dei lavoratori. Per questa ragione, l’installazione di sistemi da cui può derivare un controllo dell’attività dei lavoratori deve rispettare non solo il GDPR, ma anche le regole poste dallo Statuto dei Lavoratori a presidio dei loro diritti, e il mancato rispetto di queste regole può portare all’instaurazione di un procedimento penale.
Se pensi che il tuo sistema di videosorveglianza, geolocalizzazione o sistema da cui può derivare il controllo dei lavoratori in genere non rispetti le leggi citate e non vuoi rischiare una sanzione amministrativa o violare norme penali, richiedi di essere contattato dai consulenti di Docuverse per una consulenza specialistica in materia.
Input your search keywords and press Enter.