Dieci considerazioni sul GDPR e sui suoi effetti pratici per una PMI italiana.
A cura di: MICROSYS
Qualche domenica fa ci è capitato di ascoltare su Radio 24 un avvocato che commentava gli elementi fondamentali del GDPR. Per una volta abbiamo sentito un avvocato parlare di digitale senza fare terrorismo e dando l’impressione di conoscere l’argomento.
Il fatto è che molti esagerano. Come diceva l’avvocato citato, ci sono straordinari esempi di “imbecillità digitale”. Di conseguenza molti rischiano di essere preda di comprensibili ma immotivati attacchi di panico, o di comprare strumenti non strettamente necessari.
Il GDPR pone vincoli e obblighi rilevanti che però hanno effetto soprattutto su chi fa una attività che consiste nel trattamento dei dati d’altri, direttamente o indirettamente. Le aziende che “fanno altro” e che trattano solamente i dati di alcuni contatti e lo fanno con un minimo di ragionevole sicurezza non hanno da preoccuparsi.
Anzi, l’impressione è che in questi casi la legge sulla protezione dei dati personali del 2003 fosse perfino più restrittiva ed esigente del GDPR.
Vogliamo quindi, dal profondo della nostra inesperienza legale, dire la nostra, riassumendo il GDPR come lo vediamo noi, per quello che riguarda una piccola o media azienda Italiana, in dieci semplici comandamenti:
- Non tratterai impropriamente il dato d’altri.
- Tratterai il dato d’altri solo se ti è consentito.
- Userai il dato d’altri solo per gli scopi per i quali hai il consenso o per i quali li hai raccolti.
- Informerai l’interessato sulle tue intenzioni.
- Mostrerai il dato solamente a coloro che ne hanno necessità, anche al tuo interno.
- Darai all’interessato modo di vedere, correggere e, se consentito dalla legge, cancellare i suoi dati.
- Proteggerai il dato d’altri come se fosse il tuo.
- Non condividerai / venderai / pubblicherai il dato d’altri.
- Non memorizzerai o trasmetterai il dato in una forma facilmente leggibile da terzi.
- Non nasconderai al proprietario la perdita o il furto del dato.
Un paio di comandamenti che si potrebbero aggiungere sono “manterrai un registro dei trattamenti” ed “eleggerai un responsabile della protezione dati”.
Li abbiamo omessi perché ci eravamo posti il limite di 10, e perché questi ultimi due non valgono per tutti.
Le prossime volte parleremo di qualche implicazione pratica.
#msysnews
(Link all’Articolo originale)