Di contro, anche un piccolo studio professionale può essere chiamato ad adeguarsi ai dettami del regolamento qualora trattasse dati personali (clienti, lavoratori) in maniera sistematica, in relazione alla propria attività. Allo stesso modo, una piccola azienda con pochi dipendenti che tuttavia gestisse grosse liste di utenti (es.: clienti e-commerce, iscritti a mailing list, ecc.) sarebbe tenuto a verificare la propria compliance.
Inoltre molte altre prescrizioni dipendono dal tipo di attività svolta e soprattutto dai dati con cui si entra in contatto. Inviare un modulo a tutti i clienti e i fornitori non è una misura richiesta dal GDPR (il consenso informato è una cosa diversa).
Esistono degli schemi da seguire in linea generale (ovviamente da personalizzare): la invitiamo a questo scopo a consultare i documenti forniti dal Garante Privacy – ad esempio in merito alla figura del responsabile del trattamento dati in azienda (DPO / RDP) – che sintetizzano le nuove regole ed in nostri approfondimenti sul tema, raccolte nel nostro speciale sul GDPR.
Consigliamo in primo luogo una valutazione del rischio di impatto del vostro trattamento dati in relazione alla loro tutela (DPIA): se questi si riferiscono ai dati personali degli interessati o meno, alla natura specifica dei dati (es. dati sanitari?) e alla categoria di interessati (es. minori?). Solo a valle di questa analisi possono essere determinate le responsabilità in qualità di titolare o di responsabile per conto di altri titolari.
Nessun commento:
Posta un commento