La Privacy nelle piccole attività: non sottovalutiamola
Ancora oggi, dopo oltre due anni dall'entrata in vigore del Regolamento Europeo in materia di Protezione dei Dati Personali (General Data Protection Regulation o GDPR), molte attività italiane soprattutto piccole e con pochi dipendenti, decidono di "rischiare" e di non mettersi in regola con la Privacy.
Le principali motivazioni che spingono il titolare di un piccolo esercizio commerciale che tratta dati di persone fisiche a non adeguare la propria attività sono quasi sempre da ricercarsi nella mancata voglia di spendere denaro o di prestare attenzione ai documenti da produrre, anche se ci è capitato di sentire, tra le varie motivazioni, anche quella di non voler acquistare un armadietto con la chiave dove poter riporre la documentazione riservata (uno dei dettami del GDPR).
Questi piccoli imprenditori non si rendono conto che i rischi che corrono per mancato adeguamento e negligenza sono ben più elevati del costo di un piccolo armadietto con ante da chiudere a chiave o del costo di investimento da sostenere per un corretto adeguamento della attività alla normativa vigente.
Un’attenta lettura del Regolamento chiarisce infatti che sono chiamati ad applicarlo tutti coloro che esercitano un’attività commerciale o professionale anche minore (erroneamente considerate "escluse" da molti interessati) e quindi anche bar, ristoranti, negozi, centri estetici, parrucchieri, officine meccaniche e via dicendo. Sono escluse dall'applicazione quindi le sole persone fisiche nell’ambito di attività a carattere esclusivamente personale o domestico.
Il Garante Privacy ha poi pubblicato le istruzioni sul Registro dei Trattamenti come previsto dall'art. 30 del Regolamento UE 2016/679 (GDPR) accendendo i riflettori proprio sulle categorie di attività minori come bar, ristoranti, centri estetici e parrucchieri, negozi di abbigliamento e di alimentari, officine meccaniche, piccoli professionisti anche indipendenti e molte altre, che sono tenute a redigere il Registro, sia che trattino dati particolari o sensibili (come quelli biometrici, genetici, sulla salute, sulle convinzioni religiose, sull'origine etnica e così via) sia che gestiscano dati personali presentando così un rischio - anche non elevato - per i diritti e le libertà dell'interessato. Le FAQ del Garante dettano infatti "........sono tenuti all'adeguamento in materia di Privacy e alla redazione del Registro dei Trattamenti tutti gli esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.)..........."
Si pensi ad esempio alle parrucchiere o alle estetiste che raccolgono dati personali dei loro clienti annotandoli su schede cartacee o registrandole su software gestionali evidenziando non soltanto dati anagrafici ma i nominativi dei clienti che soffrono di determinate allergie, oppure ad esempio quelli che non possono effettuare determinati trattamenti perché magari in stato di gravidanza o chemioterapici. Tutti questi dati comuni e particolari richiedono agli operatori l’adozione di opportune cautele e l’adozione di idonee misure di sicurezza. In questi casi, come specificato anche dal Garante Privacy, dovrà essere predisposto il Registro dei Trattamenti obbligatorio redatto ai sensi dell’art. 30 del GDPR 2016/679 contenente un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio. Il Registro potrà avere forma scritta cartacea o elettronica e dovrà essere esibito su richiesta al Garante o agli organismi preposti ai controlli (come i nuclei speciali della Guardia di Finanza). La redazione del Registro dei Trattamenti non è però l’unico adempimento da porre in essere da parte del titolare.
Le Informative Privacy sono necessarie I titolari dovranno procedere alla redazione di idonee informative per i clienti, per i dipendenti e per i fornitori con indicazione puntuale delle finalità di trattamento e delle basi giuridiche che lo legittimano. Occorrerà inoltre soffermarsi sulla necessità di acquisire il consenso degli interessati, in particolare, per i clienti occorrerà acquisire il consenso in caso di trattamento dati particolari e in caso di attivazione di un servizio di invio di messaggi contenenti offerte promozionali.
Per quanto riguarda il dipendente o i dipendenti deve essere richiesto il consenso anche qualora il titolare, per promuovere la propria attività, si trovi a pubblicare delle foto dei dipendenti sul proprio sito o sulle proprie pagine social.
Le Nomine degli Autorizzati al trattamento L’autorizzato al trattamento è il soggetto persona fisica che effettua materialmente le operazioni di trattamento sui dati personali. Potrebbe essere un dipendente come uno stagista o un collaboratore e ad esso il titolare dovrà fornire le istruzioni operative e la formazione necessaria al fine di garantire un corretto trattamento dei dati personali conferiti dagli interessati. E' quindi opportuno che vengano redatte con indicazione delle finalità, delle categorie di dati trattati, degli scopi e della conservazione, e corredate di tutti i dati e i riferimenti normativi necessari.
I Responsabili esterni al trattamento
Il Responsabile del trattamento è una persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento. Potrebbero essere responsabili esterni il commercialista, il consulente del lavoro, la società di marketing e così via. È quindi un soggetto distinto dal titolare che dovrà fornire idonee garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali oltre che la tutela dei diritti dell’interessato. Valutazione delle misure di sicurezza in essere e analisi dei rischi L’analisi del Rischio Privacy (Risk Analysis) rappresenta uno strumento necessario a dimostrare l’adeguatezza delle misure implementate a tutela dei dati trattati. Ogni titolare dovrà quindi procedere all’analisi dei rischi (leggi in merito "GDPR: Asset Inventory e Risk Analysis") che incombono sui trattamenti posti in essere in termini di:
disponibilità
integrità
accesso non autorizzato
Questa valutazione è di natura soggettiva ed individuale e viene misurata sui criteri di tipologia e natura dei dati trattati, il contesto, le finalità di trattamento, lo stato dell’arte e i costi di attuazione inevitabilmente diversi per ogni titolare.
Le sanzioni per chi non si adegua Il GDPR ha come obiettivo la tutela dei dati personali degli interessati. Il rispetto di tale normativa e gli adempimenti da porre in essere gravano su tutti i titolari, compresi coloro che esercitano attività considerate a volte erroneamente "a basso impatto privacy".
La non osservanza delle disposizioni espone tutti i titolari ad un rischio di sanzioni di natura amministrativa, come previsto dall’art. 83 del GDPR, che può ricadere nel primo o secondo scaglione a seconda del tipo di inosservanza compiuta. Ma non solo. Le sanzioni potranno essere anche penali, previste e disciplinate dal D.lgs. n. 101/2018 novellato Codice Privacy (D.lgs. 196/2003).
In conclusione, se credi che non adeguarti alla normativa Privacy possa rappresentare un risparmio di soldi e di tempo, ripensaci!
Contattaci per avere tutte le informazioni necessarie e per ricevere un'analisi gratuita e un'offerta senza alcun impegno!
Chiamaci -> Cel. +39 371 46 371 45 - 371 46 30 129
Scrivici -> E-mail: info@enterprise-solutions.net
Chatta -> Cliccando sul box "Serve aiuto" o sul bottone blu con i 3 puntini ". . ." dal tuo smartphone.