Con l'appossimarsi della data del 25 Maggio, data in cui entrano in vigore le nuove regole del Regolamento Generale sulla protezione dei dati personali (RGPD o GDPR nella sigla in inglese), molte attività stanno lavorando per asssicurare che la loro procedura di raccolta e trattamento dei dati sia conforme.
Queste nuove regole interessano anche i piccoli imprenditori che devono adeguarsi nel caso in cui abbiano un sito web o forniscano servizi online.
Ci possono essere delle piccole variazioni in base alla dimensione dell'attività ma le regole generali del GDPR vengono applicati a tutte le attività che raccolgano e elaborino dati personali.
L'applicazione del GDPR per le piccole imprese
La risposta breve è no: ogni attività che opera nell'Unione Europea deve allinearsi ai principi del GDPR. Anche le attività che non hanno sede nell'Unione Europea ma raccolgono e/o elaborano i dati personali di cittadini o fonti dell'Unione Euopea devono intraprendere dei passi mirati a assicurare il totale rispetto dei principi del GDPR pena pesanti sanzioni.
Le attività che violano le regole del GDPR saranno multate per importi fino a 20 milioni di euro o il 4% del fatturato annuale. Le multe salate indicano che il costo di violare le leggi sulla protezione dei dati sono molto severe e rinforzano l'importanza di assicurare conformità alle leggi entro la scadenza fissata.
I piccoli imprenditori non sono esclusi da questi obblighi. Le imprese con meno di 250 dipendenti devono registrare tutti i dati che gestiscono e elaborano dati se una violazione di questi dati comporta una violazione dei diritti degli individui o sono relativi a dei precedenti penali.
Cosa sono i dati personali?
Le nuove regole del GDPR sono incentrate sui dati personali, ma cosa sono i dati personali? Questo è un altro elemento che è stato standardizzato per assicurare che le informazioni che rientrano in questa categoria siano identiche all'interno dell'Unione Europea e non differiscano tra i diversi Paesi come succede ora.
È importante notale che in base alle regole del GDPR, il termine "dati personali" include una varietà di dati molto più ampia di molte delle definizioni correnti. Le nuove regole stabiliscono che i dati personali includano ad esempio:
- Nome
- Indirizzo
- Posizione
- Informazioni sul reddito
- Informazioni mediche
- Indentificatori online
- Contesto culturale
Se raccogli informazioni di questo tipo nella tua attività (che si classificano quindi come dati personali), devi aderire necessariamente alle nuove regole del GDPR.
Che cosa devono fare i piccoli imprenditori?
Il Garante della privacy ha preparato una guida all'applicazione del Regolamento europeo in materia di protezione dei dati personali organizzata in diverse sezioni e ispirata alla guida pubblicata dallo stesso ente britannico.
Possiamo riassumere le informazioni in 8 punti:
- esamina tutti i tuoi dati. Analizza approfonditamente che tipo di dati raccoglie la tua azienda e come li elabora
- richiedi il consenso dei tuoi utenti. Se alcuni dei dati raccolti si classificano come personali (nella ampia definizione del GDPR) devi ottenere il consenso dell'utente per poter raccogliere i suoi dati e inviargli pubblicità o qualisais tipo di informazione
- migliora il livello di sicurezza. Le nuove regole del GDPR implicano un aumento delle misure di sicurezza per evitare violazioni dei dati personali gestiti dalla tua impresa come i dati criptati.
- fornisci accesso. Devi permettere a qualsiasi persona di esportare i dati registrati nella tua azienda o chiedere che i dati vengano completamente rimossi avvalendosi del diritto di oblio.
- rivedi i tuoi fornitori e subappaltatori. Verifica che tutte le imprese o fornitori di servizi con cui lavori o condividi dati rispettini le norme del GDPR per evitare problemi inutili
- sii trasparente. In base ai principi del GDPR devi spiegare chiaramente perchè la tua azienda raccoglie i dati personali dei tuoi utenti e dei loro clienti e come vengono utilizzati. Spesso questo richiede che gli utenti accettino che i tuoi termini e condizioni e un contratto sul trattamento dei dati.
- forma i tuoi impiegati. Se hai degli impiegati, organizza workshop, riunioni, seminari e attività simili per assicurarti che tutti siano aggiornati sul significato e le implicazioni delle nuove regole per la tua azienda e come gestire i dati in futuro.
- assumi un Responsabile della protezione dati (o DPO in inglese). Un responsabile della protezione dei Dati (Data Protection Officer o DPO) può essere necessario nel caso in cui la tua impresa lavori con dati specifici, potenzialmente confidenziali o con un controllo regolare e sistematico delle parti interessate su larga scala.
Lavoratori autonomi e GDPR
Questo articolo si concenta sui piccoli imprenditori anche se anche i lavoratori autonomi e i professionisti non sono escluse da queste regole. Se la tua attività implica la raccolta o l'uso di dati personali devi seguire gli stessi passi di qualsiasi altra impresa per assicurarti di rispettare le nuove regole.
Anche se questo potrebbe richiedere alcuni costi iniziali per garantire la conformità, il prezzo da pagare è sicuramente inferiore alle multe salate previste nel caso in cui non rispetti queste regole entro la scadenza.
Debitoor e GDPR
La sicurezza dei dati dei nostri utenti è per noi fondamentale e per questo abbiamo analizzato approfonditamente la procedura che usiamo correntemete per gestire i dati per stabilire cosa debba essere cambiato e/o aggiornato per essere conforme alla legge.
Abbiamo organizzato la procedura in 3 fasi in modo da mantenere il lavoro organizzato. Puoi leggere maggiori informazioni in merito sulla pagina dedicata al GDPR su Debitoor.