Un corretto adeguamento può definirsi tale solo se è stato seguito un percorso in piena conformità con il Regolamento

E’ ormai un concetto largamente condiviso che un corretto adeguamento al GDPR possa autare le organizzazioni ad individuare meglio le proprie criticità e a far emergere i problemi sulla sicurezza informatica e sulla preparazione del personale e rappresenti quindi una formidabile opportunità per elevare gli standard di sicurezza e abbassare i rischi.

Attraverso i nuovi concetti di Rendicontazione, Privacy by Design e Privacy by Default la gestione della privacy deve diventare una visione costante nelle attività aziendali e professionali. Tutti, senza esclusioni, devono essere conformi ad un regolamento che impone la massima responsabilità nel raccogliere e conservare i dati personali.

La principale domanda da porsi però è:

E’ stato seguito il corretto percorso di adeguamento in piena conformità con la legge?

Molti ancora non hanno compreso che si è passati da un Codice Privacy (196/2003) che essenzialmente richiedeva di produrre alcuni documenti ad un Regolamento Europeo (679/2016) che responsabilizza i Titolari al Trattamento (e i Responsabili) su tutti gli aspetti della raccolta dei dati, dalla realizzazione di informative alla richiesta dei consensi, dalle valutazioni sulla sicurezza alla formazione degli addetti, dalla prevenzione al controllo del loro operato, ecc.

Tutto è cambiato rispetto alla vecchia normativa: anche gli aspetti sanzionatori possono essere molto pesanti. Fino a 20 milioni di Euro o 4% del fatturato annuo dell’azienda.

Davanti a così tanti cambiamenti ci troviamo però di fronte a realtà che si propongono con percorsi di adeguamento basati su concetti ormai desueti e che sono, di conseguenza, inutili e sbagliati. La produzione e l’invio in massa di sole informative, per esempio, le inutili richieste di consenso per ottemperare a “obblighi di legge” non significa affatto conformarsi al GDPR, significa semplicemente eludere il problema con una errata visione della legge!

Rispondendo a queste semplici domande si potrà rendere conto della bontà o meno del percorso seguito:

E’ stato redatto il Registro dei Trattamenti sia in qualità di Titolare che di Responsabile (Art. 30 GDPR)?
Se mancano, l’adeguamento potrebbe essere incompleto oppure del tutto inutile.

Il vostro sito Internet parla di voi. Ma anche alle Autorità. E’ stato tenuto in considerazione il suo adeguamento?
Spesso e volentieri la messa a norma di un sito Internet non viene tenuta in considerazione durante il processo di adeguamento al GDPR. Non bisogna mai dimenticare che anche il sito Internet aziendale deve essere conforme a più aspetti legislativi come la presenza della Partita IVA, della Cookie Law e naturalmente al GDPR.

Sono presenti in azienda strumenti per il controllo e la tutela del patrimonio aziendale come sistemi di Videosorveglianza?
Se sono stati adeguatamente inquadrati, e non solo a livello Privacy, nessun problema. Altrimenti…

E’ stata fatta adeguata e specifica formazione agli Addetti (Art. 29 e Art. 32)?
Se la risposta è no, forse questo importante aspetto è sfuggito a lei o al Consulente. Vi sono dei precisi obblighi in capo al Titolare (Responsabile) del Trattamento e tra questi quello di formare chi tratta dati personali sotto la sua autorità.

Le recenti indicazioni del Garante richiedono la DPIA (Art. 35) per realtà a cui prima non era richiesta.
E’ stato verificato se la sua azienda rientra oggi tra queste?

Tra i documenti che vi sono stati consegnati è presente il Registro delle Violazioni?
Se come Titolare (o Responsabile) non avete idea di che cosa si stia parlando forse è giunto il momento di verificare meglio lo stato del vostro adeguamento al GDPR.

Questi sono solo alcuni aspetti che si ritrovano nei percorsi di adeguamento non affrontati correttamente ed il risultato può essere disastroso sul fronte della conformità al GDPR. Un adeguamento fatto in fretta o in economia o peggio con il “fai da te” portano ad un solo e unico risultato:

L’azienda non è conforme al GDPR.
Si rischiano pesanti sanzioni.
Sono stati spesi inutilmente tempo e denaro.

Hai bisogno di una soluzione personalizzata?

Come possiamo aiutarti?