5 aspetti che dovresti conoscere per un approccio corretto alla privacy della tua azienda
1) “Approccio basato sul rischio”, l’aggiornamento della modulistica deve andare di pari passo con l’incremento delle misure di sicurezza esistenti. Quando si parla di adeguamento al GDPR 679/2016 non si intende unicamente la riscrittura di nomine, informative ed autorizzazioni. In realtà, la parte fondamentale dell’adeguamento è rappresentata da un’analisi interna delle misure di sicurezza interne ed una pianificazione anche nel medio/lungo termine di un programma per innalzare tali misure in base al contesto ed al tipo di dati che vengono trattati.
2) L’atteggiamento “posso fare da solo” non è più praticabile. La gestione privacy interna deve essere supportata dal contributo di più professionisti, i quali, con le loro competenze, devono indirizzare al meglio il titolare nella comprensione del Regolamento per garantire il rispetto dei principi dallo stesso imposti. Le figure certificate a cui appoggiarsi sono: Consulente Privacy, DPO, Chief Information Security Officer, tecnico informatico adeguatamente formato.
3) L’adeguamento privacy non deve essere percepito come l’ennesimo balzello imposto dallo stato ma deve essere valutato come l’occasione per fare il punto sulla gestione aziendale complessiva. Un audit privacy è spesso utile per rivedere politiche aziendali inadeguate e regolarizzare situazioni pendenti soprattutto in materia di diritto del lavoro. Spesso una gestione privacy aderente al regolamento è garanzia di organizzazione aziendale virtuosa ed efficiente ben al di là della Privacy.
4) Mai sottovalutare l’informativa privacy, in quanto, soprattutto per soggetti che trattano dati particolari e di minori, rappresenta il primo livello di protezione ed il primo documento con rilevanza esterna. Deve essere chiara, facilmente comprensibile e riportare tutte le specifiche richieste dagli Artt. 13 e 14 del Regolamento.
5) I principi di protezione dei dati non si applicano ad informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca.