Il Regolamento Generale sulla Protezione dei Dati (GDPR) è entrato in vigore in tutti gli stati membri dell’Unione Europa il 25 maggio scorso. Reso operativo al termine di diversi anni di lavoro da parte della Commissione Europea, si propone un duplice obiettivo:
- Conferire all’utente/cliente l’opportunità di controllare interamente i propri dati personali
- Snellire la regolamentazione che le aziende dovevano seguire pedissequamente in tema di dati personali
Come evidenziato nella guida prodotta da iContenzioso, software gestionale punto di riferimento per commercialisti, avvocati e consulenti del lavoro, il GDPR ha stabilito una serie di regole da seguire nella protezione e nel trattamento dei dati personali. Vediamo quali sono gli aspetti principali.
LA NUOVA INFORMATIVA PRIVACY SECONDO IL GDPR
Ogni studio professionale detiene l’obbligo di presentare ai clienti un’informativa sui dati personali prima di procedere al trattamento vero e proprio. Il GDPR presenta novità molto significative sulle informazioni che devono essere predisposte all’interno del documento. Il Regolamento Generale sulla Protezione dei Dati asserisce, inoltre, come in questa epoca storica, fondata su internet e sugli strumenti digitali, tale adempimento risulti fondamentale per la tutela dei dati personali del cliente.
Alle tipiche condizioni previste da ogni genere di informativa (titolare del trattamento, finalità per le quali sono raccolti i dati etc.) il GDPR ha affiancato un’importante novità: vige l’obbligo di indicare i tempi e i periodi di conservazione dei dati personali. Questa risulta un’innovazione fondamentale in un’epoca dove grazie ad esempio a Google Drive o ad iCloud esiste l’opportunità di memorizzare i dati per sempre, a costi davvero ridotti.
IDENTIFICARE IL LIVELLO DI RISCHIO NEL TRATTAMENTO DEI DATI
Il primo passo da compiere è quello di individuare i dati personali più sensibili e ponderare il rischio che correrebbe il cliente qualora vi fosse una diffusione non autorizzata dei suoi dati. In ambito lavorativo, l’esercizio di una professione in proprio o all’interno di uno studio implica, inesorabilmente, il trattamento di dati sensibili che, in base a quanto espresso all’interno del GDPR, meritano una protezione rafforzata.
Questi dati, definiti “particolari” dal GDPR, sono relativi, ad esempio, allo stato di salute del cliente, ai minori o a vicende giudiziarie o condanne.
LE MISURE DI PROTEZIONE PIÙ EFFICACI PER EVITARE E GESTIRE INCIDENTI INFORMATICI
Talvolta è possibile imbattersi in un incidente informatico. Questi possono materializzarsi nel momento in cui si smarrisce una chiavetta USB che custodisce dei dati personali o in presenza di un virus che danneggia i dati presenti nell’archivio di uno studio professionale.
Il GDPR si pone l’obiettivo di attivare delle misure che prevedano i singoli incidenti informatici e, qualora si verificassero, siano in grado di tutelare i diritti dei clienti. Tale analisi deve tenere conto della natura dei dati da proteggere, dei rischi concreti che potrebbero prendere forma e dei costi previsti per attivare le misure di protezione. I rischi più concreti e pericolosi riguardano la perdita, la modifica o la distruzione accidentale dei dati e l’accesso non autorizzato agli stessi.
TUTELARE I DATI SENSIBILI DELLA CLIENTELA
Per proteggere i dati sensibili dei clienti, si procede seguendo due procedure ben distinte:
- Pseudonomizzazione delle informazioni
- Cifratura dei dati
La pseudonomizzazione delle informazioni rende impenetrabile l’archivio dei dati raccolti dallo studio professionale, salvo il caso in cui le informazioni siano combinate in maniera del tutto automatica. La cifratura dei dati, invece, oscura gli stessi creando una serie di dati non decriptabili. Tali procedure vengono applicate esclusivamente su quelle materie che, secondo il GDPR, meritano una specifica protezione.
Image credit: Thought Catalog