Privacy nelle aziende: quando serve il consulente? Guida ad una full compliance GDPR e adeguamento per singolo progetto

In che cosa consiste la consulenza privacy GDPR? Quando devi contattare il tuo consulente? Hai stipulato un contratto di consulenza con un fornitore qualificato? Tutti i consigli per una completa compliance aziendale.



Oggi, soprattutto dopo l’entrata in vigore del Regolamento UE 2016/679 - GDPR (General Data Protection Regulation), la consulenza privacy consiste in un supporto a 360 gradi per le società, in quanto molti aspetti della gestione quotidiana sono impattati dall’argomento data protection, sia rispetto alla predisposizione dei documenti richiesti dalla normativa europea ed italiana per la protezione dei dati personali che in riferimento alla gestione di progetti aziendali con impatti privacy.

Ecco una breve guida per rivolgerti al tuo consulente nei momenti più opportuni e verificare se ti sta supportando adeguatamente, in modo che il servizio offerto sia sfruttato al meglio da te e dalla tua azienda e dia i massimi benefici al tuo business.

Guida alla compliance privacy: di quali documenti dotarsi? Quali adempimenti verificare?

Di seguito un elenco non esaustivo degli argomenti che dovresti trattare con il tuo il consulente privacy.

Attenzione! Se non hai mai sentito parlare di alcuni di questi task, anche solo per escludere che siano applicabili alla tua azienda, rivolgiti immediatamente al tuo consulente e chiedi chiarimenti. 

1. Registro del titolare del trattamento e, se del caso, registro del responsabile del trattamento

Si tratta del documento privacy più importante per un’azienda in quanto consente di mappare tutti i trattamenti di dati personali. Per un approfondimento sul Registro del Titolare del trattamento, clicca qui.

2. Procedura per la gestione delle violazioni di dati personali ed eventuali altre procedure privacy 

Ricordati che dotarsi di una procedura aziendale è solo il primo passo, la vera sfida è che la procedura venga effettivamente applicata nel quotidiano. Questo si ottiene solo tramite un’adeguata formazione delle persone coinvolte.

3. Adeguamento sito web e cookie

Sai se il sito web della tua azienda è conforme alla normativa privacy? Verifichi periodicamente che non debba essere aggiornato? Leggi qui il nostro articolo in merito alle novità sui cookie.

4. Valutazione dell’obbligo di nominare il Data Protecion Officer (DPO)

La figura del DPO, introdotta in Italia dal Regolamento 2016/679 nel 2018, consiste in un supporto concreto per le aziende rispetto al corretto adeguamento privacy, anche in caso di nomina volontaria. Scopri quando è obbligatorio il DPO.

5. Informative sul trattamento dei dati personali

Insieme al registro del titolare del trattamento, le informative consistono nel principale adempimento privacy per un’azienda. Contengono infatti le informazioni da comunicare agli interessati, in maniera chiara e trasparente. La redazione di un documento informativo deve tenere conto principalmente di chi sono i destinatari che lo leggeranno e, per questo motivo, si tratta probabilmente del documento privacy più complesso da redigere. 

6. Valutazione dei rischi privacy ed eventuali valutazioni d’impatto (“DPIA”).

La valutazione d’impatto sulla protezione dei dati (DPIA, cioè “Data Protection Impact Assessment”) è un processo che il titolare del trattamento deve effettuare prima di procedere al trattamento quando questo, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche (art. 35 GDPR).

7. LIA “Legitimate Interest Assessment” (valutazione legittimo interesse). 

Quando la base giuridica di un trattamento viene definita nel legittimo interesse è necessario effettuare un bilanciamento di interessi. Tale documento può essere redatto in base alle indicazioni dell’Autorità Garante inglese, Information Commissioner’s Office, “ICO”, che ha messo a disposizione un template per valutare il legittimo interesse e che trovi qui

8. Formazione privacy

Per approfondimenti in merito alla già citata importanza della formazione in quanto adempimento GDPR, clicca qui.

9. Definizione dei periodi di conservazione dei dati personali

Conformemente al principio di conservazione, è necessario definire i periodi di conservazione dei dati personali in azienda e il metodo per eliminare le informazioni non più necessarie. 

10. Definizione di ruoli e responsabilità privacy interni ed esterni e degli adempimenti correlati alla figura dell’amministratore di sistema

11. Verifica in merito ad eventuali strumenti di potenziale controllo del lavoratore (art. 4 Statuto dei Lavoratori), quali per esempio l’impianto di videosorveglianza

Guarda questo video se vuoi saperne di più in merito agli adempimenti privacy necessari in tema videosorveglianza.

12. Verifica dell’adeguatezza dellemisure di sicurezza adottate (art. 32 GDPR) 

Differentemente dalla precedente normativa sulle misure di sicurezza privacy (l’abrogato Allegato B del Codice Privacy) che conteneva un elenco delle misure di sicurezza di cui tutte le aziende dovevano dotarsi, il Regolamento UE 2016/679 richiede una valutazione personalizzata ad ogni titolare del trattamento, eventualmente con il supporto del proprio responsabile informatico. La tua azienda ha già fatto questa valutazione? 

13. Individuazione dei trasferimenti di dati personali Extra SEE

Quando i dati personali vengono trasferiti fuori dallo Spazio Economico Europeo è necessario valutare le corrette garanzie in base alle quali effettuare il trasferimento. Andranno poi redatte eventuali clausole contrattuali standard. Le stesse andranno poi indicate all’interno del registro e delle informative sul trattamento dei dati personali.

14. Valutazione della necessità di un gestionale privacy

A questo punto, la consulenza privacy è terminata? Ecco quali richieste arrivano ai consulenti

Una volta che l’azienda si è dotata della documentazione sopra elencata e in generale ha dato seguito ai principali adempimenti privacy, non deve considerare conclusa la compliance aziendale, principalmente per due motivi:

  1. La documentazione privacy necessita di periodici aggiornamenti, sia rispetto ad eventuali cambiamenti societari organizzativi, che riguardo a novità normative e nuovi trattamenti introdotti in azienda.
  2. Il concetto di “compliance” comprende il raggiungimento di un livello di sensibilizzazione aziendale tale da comportare un coinvolgimento del consulente privacy sia da parte dei propri referenti in azienda che dei suoi colleghi che operano nelle aree privacy maggiormente sensibili (per esempio, marketing, gestione risorse umane, IT ecc.). Infatti, quando la consulenza privacy “funziona bene” in realtà piccole, medie e grandi, quale consulente privacy mi capita spesso di ricevere richieste per la gestione di progetti ad hoc che hanno un possibile impatto privacy. 

Di seguito qualche esempio:

  • In prossimità di fiere o eventi annuali viene chiesto di predisporre una specifica informativa sul trattamento dei dati personali per l’evento in questione;
  • In caso di acquisizione di un nuovo CRM o nuovi applicativi, il supporto è richiesto per applicare i principi di privacy by design e by default;
  • Quando un’azienda crea un e-commerce, cosa che è capitata spesso durante questi mesi di pandemia, viene richiesta una corretta strutturazione delle informazioni privacy;
  • Creare un’APP ha importanti risvolti data protection e le aziende chiedono al consulente di mettere a norma le loro applicazioni;
  • Quando un’azienda sceglie un fornitore ubicato fuori dallo Spazio Economico Europeo, viene richiesto un supporto per definire le garanzie in base alle quali trasferire i dati personali;
  • Come non citare, infine, l’installazione di un impianto di videosorveglianza: in questo caso molto spesso i clienti sono supportati anche per l’adempimento degli aspetti giuslavoristici.

Ricordiamoci, infine, che se l’azienda ha nominato un DPO, lo stesso deve essere coinvolto nei progetti di impatto data protection, affinché supporti correttamente il Titolare del trattamento. Leggi questo articolo per ulteriori informazioni.

Se hai dubbi, contatta il tuo consulente privacy

Verifica di aver messo a norma correttamente la tua azienda. Prendi l’elenco dei task sopra riportati e spunta tutto quello che è stato fatto, ricordandoti la necessità di aggiornamenti periodici. Se non hai mai sentito parlare di alcuni dei temi sopra riportati, chiedi chiarimenti al tuo consulente, anche solo per escludere che tali adempimenti siano applicabili alla tua azienda.

Relativamente ai nuovi progetti aziendali, nel dubbio, quando non sai se implicano o meno adempimenti privacy, confrontati con il tuo consulente di fiducia per escludere insieme ad un esperto che lato privacy non ci sia nulla da fare.

Il supporto del proprio consulente data protection è fondamentale per ottenere una completa compliance aziendale al Regolamento GDPR. Non hai ancora un consulente o hai bisogno di una consulenza specialistica per i tuoi progetti? Noi siamo qui!


Se ti è piaciuto l'articolo condividi: