La “nuova” normativa privacy, il GDPR, è in vigore dal 2016 ma tanto le nuove imprese che nascono quanto quelle da tempo sul mercato non hanno sempre chiaro quali sono gli adempimenti in carico alle aziende. Vediamo di mettere in chiaro i concetti base per riuscire a capire cosa devono fare le aziende per rispettare il GDPR.

GDPR: quali adempimenti per le aziende?

L’obbligo è quello di dare garanzia ed evidenza del fatto che i dati personali che vengono trattati per conto del titolare del trattamento (il legale rappresentante) siano gestiti in modo adeguato e sicuro. È un’indicazione generica, sì, perché, per quanto il GDPR preveda ruoli, attività e documenti specifici, l’applicabilità dei diversi obblighi dipende dalla struttura e dal funzionamento della singola impresa.

Il GDPR, in vigore dal 2016, ha aggiornato gli obblighi in materia di privacy che si applicano alle aziende.

In estrema sintesi possiamo dire che le aziende devono:

  1. individuare le figure di riferimento della gestione della privacy, come il titolare, i responsabili e gli addetti al trattamento;
  2. individuare le tipologie di dati personali trattati e le relative modalità di trattamento;
  3. accertarsi che i trattamenti dei dati rispettino i requisiti previsti dal GDPR e, in caso negativo, adeguare le pratiche non conformi;
  4. formare le persone incaricate del trattamento dei dati perché rispettino le procedure definiti dall’impresa;
  5. verificare periodicamente che i dati vengano trattati in modo corretto e in conformità alle regole definite;
  6. segnalare agli interessati, e al Garante nei casi più gravi, ogni violazione della sicurezza dei dati.
Se parliamo di imprese italiane, non ci sono aziende escluse dall'applicazione del GDPR.

Ci sono aziende escluse dall’applicazione del GDPR?

L’esclusione non riguarda la dimensione o la tipologia di attività, ma l’ambito territoriale: sono escluse dall’applicazione del GDPR le imprese che hanno sede fuori dall’Unione Europea e forniscono prodotti o servizi esclusivamente a soggetti (interessati) che si trovano al di fuori dell’Unione Europa.

Se parliamo di aziende italiane, nessuna è esclusa dall’applicazione del GDPR.

Ci sono differenze in funzione delle dimensioni aziendali?

Il GDPR prevede una semplificazione nella tenuta del registro dei trattamenti per le piccole aziende, intese come aziende con meno di 250 dipendenti. Ma ci sono sempre delle eccezioni in base alla frequenza di trattamento dei dati e alle tipologie di dati trattati, quindi non si può fare una valutazione dell’applicabilità degli obblighi GDPR per le aziende solo sulla base della dimensione dell’organizzazione.