Passa al contenuto
Modello di organizzazione e di gestione 231

10 aprile 2018

Privacy e PMI

MODI qualità ambiente sicurezza formazione modelli 231

Tutti i professionisti dovranno adeguarsi alle nuove regole in materia di trattamento dati personali

Privacy e PMI

Pmi e privacyLe norme si applicano alle PMI?

Risposta

Sì, l’applicazione del regolamento sulla protezione dei dati non dipende dalle dimensioni dell’azienda/organizzazione, ma dalla natura delle sue attività. Le attività che presentano rischi elevati per i diritti e le libertà delle persone, indipendentemente dal fatto che siano svolte da una PMI o da una società di capitali, determinano l’applicazione di norme più severe. Tuttavia, alcuni degli obblighi del GDPR potrebbero non applicarsi a tutte le PMI.

Ad esempio, le aziende con meno di 250 dipendenti non devono tenere un registro delle loro attività di trattamento, a meno che il trattamento dei dati personali non sia un’attività regolare, costituisca una minaccia per i diritti e le libertà individuali o riguardi dati sensibili o casellari giudiziari.

Analogamente, le PMI dovranno nominare un responsabile della protezione dei dati soltanto se il trattamento dei dati costituisce la loro attività principale e rappresenta una minaccia specifica per i diritti e le libertà individuali (come il controllo delle persone o il trattamento di dati sensibili o di casellari giudiziari), in particolare perché avviene su vasta scala.

A chi si applica la legge sulla protezione dei dati?

Risposta

Il regolamento si applica a:

· un’azienda o ente che tratta dati personali nell’ambito delle attività di una delle sue filiali stabilite nell’UE, indipendentemente dal luogo in cui i dati sono trattati;

· un’azienda stabilita al di fuori dell’UE e che offre beni/servizi (a pagamento o gratuiti) o monitora il comportamento delle persone nell’UE.

Se la tua azienda è una piccola o media impresa (PMI) che tratta i dati personali come descritto sopra, dovrai assicurarti di rispettare il regolamento. Tuttavia, se il trattamento dei dati personali non è una parte essenziale della tua attività e quest’ultima non crea rischi per le persone, alcuni obblighi del GDPR non si applicheranno alla tua azienda (ad esempio, la nomina di responsabile della protezione dei dati). Ricorda che tra le «attività essenziali» rientrano le attività in cui l’elaborazione di dati costituisce una parte fondamentale dell’attività del titolare o del responsabile del trattamento.

Esempi

Quando si applica il regolamento

La tua è una piccola azienda di istruzione superiore che opera online con uno stabilimento che ha sede al di fuori dell’UE e che si rivolge principalmente alle università di lingua spagnola e portoghese dell’UE. La tua azienda offre consulenza gratuita su alcuni corsi universitari e gli studenti devono avere un nome utente e una password per accedere al materiale online. La tua azienda fornisce il nome utente e la password quando gli studenti compilano un modulo di iscrizione.

Quando non si applica il regolamento

La tua azienda ha sede al di fuori dell’UE e fornisce servizi a clienti al di fuori dell’Unione. I clienti possono utilizzarne i servizi quando viaggiano in altri paesi, anche all’interno dell’UE. A condizione che la tua azienda non rivolga specificamente i suoi servizi a persone fisiche nell’UE, non è soggetta alle norme del regolamento.

Le norme sulla protezione dei dati si applicano ai dati relativi a una società?

Risposta

No, le norme si applicano solo ai dati personali delle persone fisiche, non regolano i dati delle società o di altre persone giuridiche. Tuttavia, le informazioni relative alle imprese individuali possono costituire dati personali se consentono l’identificazione di una persona fisica. Le norme si applicano anche a tutti i dati personali relativi a persone fisiche nel corso di un’attività professionale, quali ad esempio i dipendenti di un’azienda/organizzazione, come gli indirizzi e-mail aziendali del tipo «nome.cognome@azienda.it» o i numeri telefonici aziendali dei dipendenti.

Riferimenti

Articoli 1, 2 e 3; considerando 13, 14, 15, 18, 19 e 21 del regolamento. Cfr. sentenza della Corte (Seconda Sezione) del 9 marzo 2017 nella causa C‑398/15, Manni ECLI:EU:C:2017:1971.

Responsabilizzazione dei titolari e responsabili

Una delle più importanti novità del GDPR consiste nella responsabilizzazione (in inglese “accountability”) di titolari e responsabili.

Essi devono adottare comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.

Pertanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.

Tra questi, spicca il c.d. “data protection by default and by design” (art. 25 GDPR), ossia la necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.

Tutto ciò deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso (art. 25, paragrafo 1 GDPR).

A tal fine è necessaria un’analisi preventiva e un impegno applicativo da parte dei titolari consistenti in una serie di attività specifiche e dimostrabili.

Ciò che va tenuto in debita considerazione è il rischio inerente al trattamento: si tratta del rischio di impatti negativi sulle libertà e i diritti degli interessati.

Tali impatti devono essere analizzati attraverso un apposito processo di valutazione tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi.

A seguito di tale valutazione il titolare potrà decidere in autonomia se iniziare il trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero consultare il Garante della privacy per ottenere indicazioni su come gestire il rischio residuale. Scarica sotto il documento completo....

Pmi e privacyPmi e privacy


Ulteriori Informazioni:

Guida applicativa 2018 Privacy

Informatica e libertà: sono preoccupato?

Concedere agli operatori un periodo sufficiente a prepararsi Regolamento UE 2016/679

Nuove FAQ Responsabile Protezione Dati

 
Leggi altri articoli della categoria Generale
, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,