DSGVO

5 errate convinzioni riguardo l’introduzione del GDPR

Il GDPR ha creato tanta confusione e speculazioni, nonostante fosse un tema ben noto dal precedente “codice” della privacy. Tuttavia tu, come tanti altri, ti senti sopraffatto dalla quantità di novità e regole che ora sono da implementare.

Perché il GDPR?

Alcuni si chiedono il perché di tutto questo e a che cosa serve. Ma se pensi a dove girano i tuoi dati personali, ti diventa più chiaro perché nessuno vuole che i dati vadano a finire in mani sbagliate. L’impegno è quindi assolutamente giustificato.

5 errate convinzioni e falsi miti intorno alla introduzione del GDPR

Con l’adeguamento al GDPR si è completamente lasciati soli o no? E con questo pensiero siamo già dentro alle maggiori credenze sbagliate riguardo il nuovo Regolamento.

1. Nessuno mi spiega esattamente che cosa devo fare

DSGVO

La fotografia: Pixabay.com, copyright by TheDigitalArtist, 3233754, CC0 1.0

Ma, non è proprio del tutto cosi. Già il Regolamento spiega, se pur in un italiano burocratico, a chi si rivolge e che cosa si deve fare. Gli obblighi dei responsabili e i diritti degli interessati sono precisamente fissati nel GDPR.

Inoltre, ci sono tante pagine informative su internet dove puoi reperire aiuto da parte dei RPD (Responsabile per la protezione dei dati), dalle autorità di controllo o dal Governo.

Anche la Camera di Commercio offre tante informazioni, aiuti e interlocutori competenti ai quali ti puoi rivolgere se non sai proprio come fare. Tante aziende sono specializzate nell’ambito della protezione dei dati e possono fornirti il supporto di esperti esterni.

2. A me non riguarda il GDPR, coinvolge solo le grandi aziende

Subito dopo le lamentele di non ricevere informazioni e aiuto, ricorre la rinuncia. Tanti pensano che soltanto le grandi aziende, e non anche le piccole e medie imprese o i liberi professionisti, devono adempire al GDPR. Purtroppo è sbagliato perché non dipende dalla grandezza dell’impresa.

Chi si trova nell’ Unione Europea o chi ha una filiale in Europa o chi tratta i dati di cittadini europei dall’estero deve adempire al GDPR. Non importa quanto sia grande l’azienda.

Se anche tu pensi che le piccole aziende non vengono scoperte cosi facilmente, hai pensato male: ogni cittadino può far valere il diritto d’informazione, correzione o cancellazione dei propri dati o può richiederne la limitazione del trattamento.

Inoltre, può porre reclamo al Garante se ritiene che i suoi dati non vengano trattati e/o protetti in modo conforme, indipendentemente da quanto sia grande la tua azienda. Capita anche che, durante controlli aziendali per altri motivi, come per esempio quelli fiscali, venga scoperto “per caso” che gli obblighi imposti dal GDPR non siano rispettati e quindi viene avviata un’indagine o addirittura subito comminato un richiamo o una sanzione.

3. Ho soltanto un’officina meccanica e non elaboro dati personali

Anche questo pensiero purtroppo è sbagliato. In tanti non sono consapevoli del fatto che anche l’elaborazione “passiva”, come il salvataggio dei dati clienti, viene considerato nel Regolamento europeo come trattamento dei dati personali. Questi dati sono utilizzati anche in un’officina meccanica.

Infatti, spesso vengono salvati nome, cognome, indirizzo, data di nascita, patente e libretto di circolazione o fotocopia della carta d’identità, oltre a numero di telefono, mail, targa e, a volte, anche dati bancari.

Tutti questi dati sono personali e il loro utilizzo è regolamentato dal GDPR. Infine non dimentichiamo i dati personali dei nostri dipendenti che trattiamo, elaboriamo, condividiamo e salviamo…

4. Ma quando mai… se facciamo i Backup con regolarità abbiamo fatto il nostro dovere.

Eseguire i backup è già molto buono, ma non basta! In base all’articolo 5 GDPR si stabilisce che la protezione dei dati non riguarda solo il trattamento non conforme dei dati ma anche la perdita, la distruzione o il danneggiamento. Ciò significa che il Backup da solo non ci tutela completamente e non ricopre tutti i nostri obblighi. Ci tutela solamente dalla perdita dei dati.

Quindi, non solo con il backup non sei salvo ma devi anche assicurarti che venga eseguito in modo corretto, che i dati di salvataggio non possano essere letti da persone non autorizzate e che ogni terminale sia provvisto di un proprio backup.

Altrimenti rischi comunque la perdita dei dati su alcuni pc. Soprattutto, puoi salvare i dati personali (anche quelli del Backup) soltanto per il tempo strettamente necessario al fine del trattamento per cui li hai raccolti.

E come la mettiamo con i dati che si trovano apertamente nei nostri uffici?  La protezione dei dati si riferisce anche ai documenti cartacei, email, fax e alla loro corretta conservazione e distruzione.

5. Se qualcuno ci scopre possiamo sempre ancora reagire

DSGVO

La fotografia: Pixabay.com, copyright by TheDigitalArtist, 4084714, CC0 1.0

Le autorità possono in ogni momento effettuare i controlli presso le aziende al fine di scoprire se sono stati rispettati i nuovi regolamenti. Gli articoli 51-59 GDPR spiegano esattamente quali sono i compiti delle autorità. In Germania gli Landesdatenschutzbeauftragten ( RPD del land) se occupano di controllare le aziende private mentre i Bundesdatenschutzbeauftragten (commissario federale per la protezione dei dati) si occupano della sorveglianza delle pubbliche amministrazioni.

Se aspetti fino a quando ti trovi i controllori in casa, hai avuto una brutta idea, perché le violazioni vengono sanzionate con multe molto alte. Anche solo il fatto di non aver adempito alla legge è una violazione grave. Le sanzioni possono, in base all’art.83 GDPR, arrivare fino a 20 milioni di Euro oppure fino al 4% del fatturato globale annuo dell’impresa. Non dovresti rischiarlo!

Non solo, chi arriva per ultimo trova quello che avanza …. trovare, in fretta e furia, un partner esperto e competente che adegua la tua azienda al GDPR può diventare molto più difficile di quanto lo sia già. Quindi meglio prevenire che curare!

Conclusione:

Nonostante i due anni di tempo concessi per l’adeguamento e le numerose informazioni da parte delle autorità, queste credenze sbagliate sono ancora molto persistenti. E si tratta soltanto della punta dell’Iceberg.

Perché non sono affatto gli unici pensieri errati che si riscontrano delle aziende quando si affronta il tema dell’adeguamento dell’azienda al GDPR: grandi falsi miti sviliscono la figura del Responsabile per la protezione dei dati e l’obbligo di nominarlo o meno.

Per informazioni dettagliate leggi la seconda parte del post.

Se invece vuoi attivarti subito… contattaci. Ti aiutiamo sia nell’adempimento sia nel controllo della conformità della tua azienda.