You are currently viewing Documentazione privacy – GDPR

Documentazione privacy – GDPR

Il GDPR ha introdotto un importantissimo principio di responsabilizzazione, (accountability), che riguarda e interessa liberi professionisti, aziende e, in generale, tutti i soggetti che trattano dati personali nell’ambito della loro attività lavorativa. Secondo tale principio bisogna essere in grado di dimostrare di aver adottato adeguate misure di protezione dei dati circolanti all’interno e all’esterno della propria azienda.  Ecco perché è necessario produrre, aggiornare e conservare una adeguata documentazione e svolgere la necessaria formazione privacy. Di seguito una sintesi dei documenti privacy da elaborare e aggiornare.

È un documento contenente tutte le disposizioni in merito all’utilizzo e al trattamento dei dati personali interni all’azienda da parte di dipendenti e in generale di tutti i soggetti appartenenti all’azienda. In sostanza, in questo documento ufficiale l’azienda stabilisce in modo chiaro e per iscritto quanti, quali e in che modo i dati personali possono essere utilizzati. 

Sono i documenti con i quali colui che ha un’attività, informa i clienti, i fornitori, dipendenti e collaboratori su come, dove, perché e per quanto tempo utilizza i dati raccolti. Inoltre, le informative devono contenere i diritti che possono esercitare coloro che ci hanno fornito i loro dati quindi parliamo sempre di clienti, fornitori, dipendenti o collaboratori. Per quanto riguarda le altre informative specifiche, esse possono essere a titolo esemplificativo l’informativa videosorveglianza (se presente), l’informativa Covid 19 e altre a seconda delle esigenze dell’azienda.

  • dei soggetti autorizzati al trattamento dei dati, con istruzioni operative e impegno di riservatezza – sono le lettere con le quali il colui che ha un’attività nomina le persone che potranno accedere ai dati e lavorarci quindi parliamo di dipendenti e collaboratori interni. Allegate alle lettere ci sono le istruzioni operative e cioè un breve manuale nel quale il titolare impartisce istruzioni su come, dove e quando lavorare i dati. Il secondo documento allegato è l’impegno di riservatezza quindi un documento con il quale le parti dichiarano che le informazioni e i dati dei quali si viene a conoscenza non devono essere divulgati da nessuna delle parti.
  • dei responsabili del trattamento dei dati – sono lettere con le quali il titolare dell’attività nomina le persone o le società esterne che hanno accesso ai dati personali che circolano in azienda (ad esempio il consulente del lavoro che ha accesso ai dati dei dipendenti per fare le buste paga). Lo scopo di queste lettere è quello di mettere in evidenza e per iscritto i limiti entro i quali un soggetto esterno può utilizzare i dati che gli vengono affidati.
  • dell’amministratore di sistema – è la lettera con la quale viene nominata la persona responsabile della sicurezza dei sistemi informatici aziendali. Nella lettera vengono indicati i compiti del professionista e i limiti di utilizzo dei dati dei quali viene a conoscenza nell’esercizio delle sue mansioni.

È un piccolo manuale operativo nel quale vengono riportate le istruzioni per come gestire i casi di data breach quindi i casi di distruzione, perdita, modifica, divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati dall’azienda.

Sono dei moduli con i quali, nel primo caso, le persone delle quali abbiamo i dati possono farci sapere quale diritto vogliono esercitare sui loro dati (ad esempio: il diritto alla cancellazione, il diritto alla consultazione, ecc) oppure, nel secondo caso, si tratta di un modulo con il quale possiamo comunicare al Garante quando e su quali dati  è avvenuta una violazione (la comunicazione al Garante costituisce obbligo di legge).

Sono dei documenti con i quali si effettua, nel primo caso, un’analisi preliminare dei rischi che corre un’attività e qui si tratta sia di rischi fisici (malfunzionamenti dei computer o altri dispositivi, furti di cartelle con i documenti ecc) che di rischi informatici (attacchi di hacker, virus, ecc). Nel secondo caso parliamo di una valutazione di impatto e cioè una valutazione sulla necessità e la proporzionalità rispetto ai rischi dei trattamenti di dati che si effettuano.

È un manuale nel quale si spiegano i processi utili e necessari per essere a norma con il GDPR. Oltre alle spiegazioni, vengono fornite le istruzioni su come devono essere utilizzati i sistemi informatici (computer, cloud, posta elettronica, ecc). 

È un documento che raccoglie le principali informazioni sui dati personali che “girano” nell’azienda e che vengono gestiti dal titolare e, se nominato, dal responsabile del trattamento. I registri costituiscono uno degli adempimenti più importanti concernenti i trattamenti dei dati, in quanto sono in grado di fornire un quadro aggiornato delle operazioni e dei trattamenti in essere all’interno della propria azienda, indispensabile per ogni attività di valutazione o analisi del rischio e preventivo rispetto a tale attività.

Veronica Mandrila

Consulente privacy e tecnico dei sistemi informativi aziendali. Libera professionista dal 2015. Segue i percorsi di formazione e le fasi di assessment dei dati presso le aziende.