Cosa si intende per “compliance al GDPR”? E perché è sempre più importante che anche le piccole aziende siano adeguate ed aggiornate in merito alla tematica?
Innanzitutto, possiamo dire, in generale, ci sia c.d. “compliance” allorquando un’azienda, ma non solo, si conformi e rispetti determinate regole/leggi in un determinato ambito. Nel caso specifico, parliamo del rispetto della normativa e regolamentazioni previste dal c.d. GDPR che origina dal Regolamento europeo per la protezione dei dati (Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, che abroga la direttiva 95/46/CE “regolamento generale sulla protezione dei dati”). Un tanto si concretizza non solamente a livello teorico (ad esempio riconoscendone meramente e formalmente l’esistenza ed adeguandone la propria regolamentazione interna), ma anche, e soprattutto, a livello pratico. L’azienda, infatti, deve adottare tutta una serie di procedure tanto organizzative, quanto di sicurezza, tali da ridurre il più possibile i rischi connessi al trattamento dei dati. Questo significa rivedere ed adottare procedure che coinvolgono tutti i soggetti dell’azienda, dai titolari ai dipendenti, oltre che i soggetti esterni alla stessa: sia i titolari del trattamento dei dati, quanto gli addetti ed i responsabili esterni, pertanto, dovranno essere costantemente preparati ed aggiornati sui contenuti e prescrizioni del Regolamento. La materia ha, oggi, grandissima rilevanza in quanto il suddetto Regolamento è ormai materia cogente, e quindi obbligatoria, per tutti quei soggetti che trattino dati (oltre che sensibili e particolari, anche, a mero titolo esemplificativo, relativi a fatturazione, gestione clienti, gestione dipendenti, fornitori, ecc…).
Ogni realtà aziendale, tuttavia, presenta le proprie peculiarità e difficoltà in merito all’adeguamento alla compliance al GDPR. L’impatto (anche economico) per le grandi aziende, indubbiamente, è proporzionalmente ridotto rispetto a quello che colpisce le piccole e medie imprese. Eppure, anche per queste ultime, si rende necessario provvedere ad assicurare la compliance al GDPR al fine di tutelare le persone fisiche con specifico riferimento al trattamento dei dati personali, nonché alla libera circolazione degli stessi dati. E con lo sviluppo delle tecnologie e l'imprescindibile articolarsi dei rapporti tra i vari soggetti coinvolti nelle realtà aziendali, queste esigenze di adeguamento e tutela rivestono, soprattutto negli ultimi anni, un’importanza sempre crescente!
Premessa fondamentale, pertanto, sarà che il titolare del trattamento dati, i suoi addetti ed i responsabili esterni dovranno essere sempre aggiornati sugli sviluppi normativi e, ancora più a monte, essere sempre consapevoli di cosa e quali siano i dati personali, i dati sensibili, come intervenire nei malaugurati (ma, purtroppo, possibili) casi di c.d. “Data Breach” (violazione dei dati) e, di conseguenza, come comportarsi per limitarne i danni e ripristinare la sicurezza.
Purtroppo, soprattutto nelle piccole realtà aziendali, tutti questi aspetti vengono parzialmente ignorati e, comunque, disattesi, sia per mancanza di consapevolezza in merito alla rilevanza dell’argomento, quanto ai rischi connessi e derivanti da potenziali episodi di violazione delle regole imposte dal Regolamento. Trascurare la compliance, tuttavia, può portare a gravi conseguenze, anche sanzionatorie.
Fondamentale, in questo processo di adeguamento e di conformazione, saranno l’individuazione e la nomina di un c.d. ‘DPO’ (il ‘Data Protection Officer’), ossia di un soggetto (che può essere interno quanto esterno all’azienda e, comunque, imparziale) in grado di comprendere e operare nell'ambito della compliance, provvisto di competenze oltre che giuridiche, anche informatiche e tale da essere in grado di intervenire con competenza tanto in caso di organizzazione ab origine dei trattamenti, quanto, con particolare prontezza, in caso di situazioni d’emergenza e criticità. Sarà, dunque, il responsabile del trattamento dei dati personali (e della loro protezione) all’interno dell’azienda e garantirà il loro trattamento nel rispetto delle normative privacy europee e nazionali.
A tal riguardo il Garante ha previsto e/o suggerito quando procedere obbligatoriamente con la nomina della suddetta figura, stilando una lista di attività che lo devono necessariamente prevedere: non sono moltissime ma, si può sintetizzare, la nomina sarà obbligatoria per tutte quelle aziende pubbliche, ovvero per quelle (anche private) che trattino dati (sensibili/particolari, giudiziari...) automaticamente e su larga scala o, comunque, che facciano uso di tali dati a scopi di profilazione. Per tutte le altre attività lavorative la nomina di tale figura sarà “solamente” caldeggiata. L'unico adempimento al quale tutti i soggetti dovranno sottostare, su più larga ed onnicomprensiva scala, sarà la redazione del c.d. "Registro dei trattamenti", ovvero di quello specifico documento che metta in evidenza la 'accountability’ del Titolare del trattamento, ossia la sua specifica valutazione dei rischi rispetto al trattamento di dati.
Anche le piccole imprese, in conclusione, non dovranno affrontare con leggerezza la compliance al GDPR ma, al contrario, dovranno adoperarsi per rispettare le normative (peraltro in continua evoluzione) relative al trattamento dei dati personali rivolgendosi, se del caso, a competenti professionisti che siano in grado di assumersi un tale “ingrato compito” sollevandole, al contempo, dai pericoli e rischi derivanti da un approccio troppo approssimativo alla materia.