Giro di boa per la tanto chiacchierata “Privacy”. Ad oggi tutte le aziende si sono sicuramente poste l’interrogativo “adesso cosa devo fare?”. Questa è una normativa particolare quindi ogni “to do list” deve partire dal concetto di “accountability”, ovvero “responsabilità verificabile”: fare e dimostrare di aver fatto.

Esistono degli adempimenti minimi che possono essere adottati per dimostrare un buon livello di accountability aziendale?

Non esistono adempimenti standard, ogni azienda necessita di un adeguamento sartoriale in materia privacy, ma possiamo sicuramente individuare alcune misure che non possono mancare in vista di un’ispezione del Garante. Vediamole.

1. Il Registro dei trattamenti. Abbiamo già parlato di questo valido “alleato” ed è sufficiente ribadirne il ruolo centrale all’interno del sistema di compliance. Il Registro dei trattamenti è il primo documento che viene richiesto in caso di ispezione da parte dell’Autorità e per quel momento dovrà essere pronto. Pronto significa: completo di tutti i flussi di dati che circolano all’interno dell’azienda, chiaro, esaustivo e veritiero (non deve contenere informazioni errate o obsolete). L’importante è non dimenticarsi del proprio Registro: rappresenta una fotografia della nostra azienda e come tale deve riprodurre la situazione attuale dell’organizzazione.

2. Istruire i propri collaboratori. Il GDPR prevede espressamente l’obbligo di formare e responsabilizzare i propri collaboratori. Occorrerà quindi istruirli e incaricarli al trattamento dei nostri dati. Questo adempimento è spesso sottovalutato e i dipendenti si trovano a non saper gestire i dati personali. Il fattore di rischio più elevato per la sicurezza dei dati è infatti l’errore umano.

3. Le informative. Altra grande protagonista della scena, e già trattata in un nostro precedente articolo, è sicuramente l’informativa. Questo documento deve possedere specifiche caratteristiche (artt. 13 e 14, GDPR) e aiutare l’interessato a capire come vengono trattati i propri dati personali. Durata e tipologia del trattamento, consenso (quando necessario), trasferimento dei dati in Paesi extra-UE, base giuridica e dati di contatto del Titolare sono alcuni degli elementi che devono comporre le nostre informative.

4. Nominare i responsabili esterni del trattamento. Pensiamoci bene: affideremmo mai il nostro patrimonio a istituti di credito non sicuri? No, e così deve essere anche per i nostri dati. Ogni consulente esterno – commercialista, consulente del lavoro, webmaster, agenzie di marketing ecc. – deve essere nominato Responsabile esterno del trattamento dei dati personali che gli vengono affidati per lo svolgimento dei rispettivi compiti. Ciò significa che andrà verificato che le misure protettive dei dati che i consulenti mettono in pratica siano conformi alla normativa europea.

5. La sicurezza dei sistemi informatici. Il dato è sempre più digitale. È fondamentale curare la sicurezza del nostro sistema IT: aggiornare i sistemi operativi, dotarsi di antivirus professionali, verificare la vulnerabilità degli stessi ad intrusioni non autorizzate sono passi elementari in un’ottica di accountability.

L’adeguamento al GDPR può essere complesso, per questo affidarsi a dei professionisti garantisce di realizzare procedure corrette ed efficaci nel tempo: scopri come