Il GDPR per le piccole (e piccolissime) imprese
Mi sono accorta che alcuni utenti approdano sul mio blog cercando una checklist sulla privacy, pertanto ho deciso di fornirne indicazioni a chi fosse interessato a utilizzare uno strumento sintetico di controllo per avere una prima immediata percezione della propria compliance alle regole sulla protezione dei dati personali e degli adempimenti che fossero eventualmente da implementare.
La prima annotazione che ritengo di dover fornire riguarda la nostra Autorità Garante.
Nel lontano 2007, infatti, sul sito dell’Autorità è stata pubblicata la “Guida pratica e misure di semplificazione per le piccole e medie imprese”. Il provvedimento offre un’utile check list che per comodità riporto (aggiornandola al presente quadro normativo) anche se andrebbe letta insieme al provvedimento, dato che alcuni aspetti potrebbero non essere di immediata percezione, se non si ha familiarità con il linguaggio tecnico:
A parere di chi scrive, la checklist sopra riportata è un ottimo strumento per valutare l’impatto della normativa privacy ed individuare le aree in cui si possono rendere necessari degli interventi.
Occorre tener presente che vi sono molte aree che richiedono adempimenti peculiari, come ad esempio l’attività di marketing, la profilazione o la geolocalizzazione, ma è anche vero che, in linea generale, i provvedimenti del Garante danno indicazioni particolari in ordine alla liceità dei trattamenti, alle informazioni da rendere agli interessati, alle modalità con cui rendere l’informativa alla necessità di procedere a notifica o a verifica preliminare, alla necessità di acquisire il consenso al modo in cui deve essere acquisito. Pertanto, anche rispetto a questi trattamenti le aree più critiche sono sempre quelle che risultano dalla lista di controllo, ed è possibile partire da lì per verificare l’eventuale compliance ai provvedimenti ulteriori eventualmente resi dal Garante in materia.
Più la realtà aziendale è complessa, infatti, più la checklist dovrebbe essere estesa. Tuttavia per le piccole realtà, si ribadisce, può costituire un ottimo strumento di partenza.
Sia chiaro che, rispondere sì a tutte le domande non mette al riparo da tutte le possibili violazioni, ma certamente indica che si è sulla buona strada per prevenirle.
D’altro canto, rispondere no alla maggior parte dei quesiti, denota una forte carenza della conoscenza della disciplina, e una conseguente carenza di conformità agli adempimenti di legge: una prima mappatura delle lacune consente anche di dare una lettura più consapevole della normativa, potendo rivolgere lo sguardo anche all’applicazione pratica delle regole canonizzate dal legislatore.
La checklist dell’ICO
Partendo da questo presupposto, cioè che la checklist sia un ottimo sistema per saggiare la conoscenza della normativa applicabile alla propria realtà e dare una lettura “pratica” dei codici e delle norme che possono scaturirne, avrei voluto suggerire la lettura della lista di controllo formulata dall’ICO, che, però, soffre del fatto che, se non si è ben consapevoli delle discrepanze tra le normative nazionali di riferimento, rischia di essere fuorviante. Pertanto ho deciso di riadattarla al nostro quadro, provando a conservarne il linguaggio semplice e l’approccio immediato, creando l’infografica sulla check list privacy qui sotto.
Un altro strumento davvero valido messo a disposizione dall’ICO, che consente anche di saggiare il livello di sicurezza informatica, è il “Data protection self assessment toolkit”: occorre però anche qui tener ben presente la differenza tra le normative dei due Stati (resta comunque utilissima la parte sulla sicurezza informatica, al di là delle misure minime).
Da qui è possibile scaricare i modelli-di-checklist-privacy.
Tutti i contenuti presenti nel blog, ove non diversamente specificato, sono distribuiti con licenza Creative Commons Attribuzione – Condividi allo stesso modo 4.0 Internazionale.
Articoli correlati
