GDPR aziende: cosa fare?

Una volta lasciavamo foglietti ovunque con i nostri numeri di telefono e indirizzi ovunque senza preoccuparci troppo. Oggi invece i dati sono una merce, una materia prima al pari del petrolio, dell’oro e dell’argento, e come tale viene venduta e scambiata per altri beni e servizi. Oggi il nostro numero di cellulare ha più valore del cellulare stesso. Questo significa anche che i dati sono esposti a rischi quali frodi e furti e vanno protetti, soprattutto sul lavoro. Per questo oggi affrontiamo l’argomento GDPR nelle aziende e cosa fare per rispettare le leggi vigenti.

Partiamo proprio da questo: le leggi sulla privacy non nascono per essere una fonte di noie e problemi per gli imprenditori, bensì per proteggere i nostri diritti come consumatori e possessori di dati, anche sensibili.

Anche tu sei il proprietario dei tuoi stessi dati e siamo sicuri che vorresti che rimanessero al riparo da possibili furti o manomissioni. Allo stesso modo, quando possiedi i dati di altri devi fare attenzione a rispettare le leggi vigenti in materia per tutelare i diritti di chi si fida di te.

I pricipi più importanti sulla tutela dei dati sono sanciti da una legge europea in particolare: la GDPR.

Ma una piccola o media impresa come la mia che dati possiede?

Uno degli errori più comuni che vediamo nelle piccole imprese è quello di abbassare la guardia. Questo succede perché spesso si ritiene di non essere in possesso di alcun dato sensibile da tutelare, ma in realtà le stesse fatture, l’anagrafica dei clienti, le buste paga dei dipendenti, i loro numeri di telefono, certificati medici e molto altro ancora sono dati sensibili che vanno protetti secondo le disposizioni della GDPR.

Anche se non lo hai mai fatto prima, non significa che tu non debba iniziare ora a tutelare queste informazioni. Il rischio è quello di prendersi una multa da decine di migliaia di euro! Ti conviene davvero?

Capiamo cosa fare nel tuo caso.

Fai un inventario dei dati

Se hai letto il paragrafo precedente, avrai capito che molte cose che pensavi innocue in realtà costituiscono fonti di dati sensibili.

La prima cosa da fare è capire quanti e quali dati sensibili hai, perché potrebbe sempre sfuggirti qualcosa e, in sede di controllo delle autorità, ritrovarti con una multa nonostante tutti gli sforzi profusi.

Per fare un inventario dei dati procedi in maniera organizzata: innanzitutto, dividili in quattro categorie:

  • Dipendenti: qui andranno tutti i dati che riguardano i tuoi dipendenti, incluso te stesso: i loro dati anagrafici, bancari, eventuali contatti di emergenza, certificati medici e ogni tipo di documentazione a essi collegata;
  • Azienda: qui ci metti tutti i dati che riguardano strettamente la tua azienda: certificati, documenti ufficiali, visure e tutto quello che non è pubblico;
  • Clienti: qui, tutto ciò che riguarda i tuoi clienti: anagrafica, fatture emesse, dati di contatto, corrispondenza varia, contratti e tutto quello che ti serve per gestire il rapporto con essi;
  • Fornitori: infine, ciò che vale per i clienti vale anche per i fornitori. Anche questi dati vanno protetti allo stesso modo.

Informa i soggetti con cui interagisci

Informa clienti, dipendenti e fornitori dei dati che conservi su di loro, perché li richiedi, come li conservi e per quanto tempo. Devi ottenere il consenso, che sia dimostrabile, da ciascuno di loro. Se non puoi dimostrare di aver ottenuto esplicito consenso alla conservazione e al trattamento di quei dati per gli scopi indicati da te.

Basta anche una semplice email, meglio se inviata tramite PEC, che riassuma la tua politica sulla privacy. La soluzione ideale è sempre quella di coinvolgere un legale specializzato.

Usa soluzioni digitali

Potrebbe sembrare controintuitivo, ma non lo è: con i mezzi che abbiamo oggi a disposizione è più semplice proteggere i dati sensibili con uno strumento digitale che in altri modi.

Qualora avvenisse un furto di dati, devi dimostrare di aver intrapreso tutte le azioni possibili per evitarlo, riducendo il rischio al minimo, oltre che a informare tempestivamente i proprietari dei dati di quanto avvenuto.

Con soluzioni di spazio di archiviazione su internet, per esempio, si può facilmente dimostrare di aver intrapreso tutte le precauzioni necessarie se tale spazio di archiviazione è ben protetto con sistemi di sicurezza.

Sarà compito del tuo Data Protection Officer dimostrare che tali precauzioni sono state prese.

La soluzione di Dornick

La soluzione di Dornick per la GDPR consiste di tutti questi step finora indicati, accompagnati da un legale specializzato come Data Protection Officer che può aiutare a redigere un documento di politica sulla privacy, le informative per clienti e fornitori e gestire la protezione dei dati sui server Dornick, protetti da soluzioni di sicurezza certificate e quindi inattaccabili dal punto di vista legale.