- Autore: Walter Della Mora
- Pubblicato il: 24 Gen 2022
- Aggiornato il: 21 Ago 2023
Trattamento dati personali: di cosa si tratta?
Secondo il GDPR, un “trattamento dati” è qualsiasi operazione applicata, con o senza processi automatizzati, a informazioni personali. Nell’elenco vanno quindi:
- la consultazione
- la raccolta
- la registrazione
- l’organizzazione
- la strutturazione
- la conservazione
- l’adattamento o la modifica
- l’estrazione
- l’uso
- la comunicazione
- il raffronto o l’interconnessione
- la limitazione
- la cancellazione o la distruzione.
CHI EFFETTUA TRATTAMENTO DI DATI?
Un dato personale è qualsiasi informazione che consenta di identificare direttamente o indirettamente una persona. Nome e cognome sono pertanto dei dati personali.
Dal momento che la raccolta e la consultazione sono già due forme di trattamento, qualunque azienda tenga una rubrica dei suoi clienti o dei suoi collaboratori sta effettuando un trattamento di dati personali.
La dimensione dell’azienda è irrilevante pertanto, anche se si tratta di liberi professionisti o lavoratori autonomi, chiunque effettua un trattamento dati è tenuto a conformarsi al GDPR, assumendo il ruolo di “Titolare del trattamento”.
PERCHÉ É IMPORTANTE CONOSCERE COME TRATTIAMO I DATI?
L’obiettivo principale del GDPR è favorire la circolazione dei dati tutelando nel contempo i diritti e le libertà delle persone. Per raggiungere questo scopo impone, a chiunque effettua un trattamento di dati personali, di essere consapevole ci ciò che sta facendo. L’obbligo si espleta tramite la responsabilizzazione (accountability) del Titolare del trattamento. In pratica il titolare è tenuto a saper dimostrare, in qualsiasi momento, quali misure tecniche e organizzative ha adottato per ridurre al minimo i rischi per la persona cui i dati trattati si riferiscono.
L’unico modo per poter ottemperare a quest’obbligo è cominciare dallo studio dei trattamenti effettuati all’interno della propria organizzazione. Solo sapendo a quali rischi è sottoposto l’interessato al trattamento si può decidere quali misure tecniche e organizzative adottare.
Dopo aver analizzato i trattamenti si procede con i passaggi successivi, ciascuno dei quali contribuisce a creare un impianto privacy che sia funzionale per l’azienda e conforme al GDPR.
COME SI PROGETTA UN TRATTAMENTO DATI?
In teoria chiunque può progettare i trattamenti dati della propria organizzazione. Purtroppo molti, nell’ottica di risparmiare, optano per un “fai da te” basato sul copia/incolla, prendendo spunto da ciò che trovano sul web. Questo approccio generalmente non favorisce la responsabilizzazione del Titolare e in sede di controllo da parte degli organi ispettivi potrebbe portare a sanzioni ancor più pesanti.
Nella pratica, soprattutto per chi opera in settori che trattano dati sensibili, sono richieste competenze ed esperienza. Il consulente privacy è la figura da ricercare, dove previsto è opportuno incaricare anche un DPO.
Per chi non opera in contesti particolarmente delicati, è comunque consigliato appoggiarsi ad un esperto che provvederà a:
- individuare gli eventuali punti di maggiore attenzione;
- allestire l’impianto documentale necessario;
- consigliare gli strumenti e le procedure più idonee per rendere sicuri i trattamenti dei dati;
- formare il personale.
É fondamentale partire con il piede giusto predisponendo le misure necessarie. Non è obbligatorio stipulare contratti di assistenza né introdurre costi di gestione fissi. É però importante che il Titolare del trattamento abbia una figura competente di riferimento da poter consultare quando ce n’è il bisogno.
QUALE SOFTWARE USARE PER TRATTARE CORRETTAMENTE I DATI?
Lo strumento da adottare dipende fortemente dal contesto, dal tipo di dati e dall’operatività dell’azienda.
Possiamo però elencare alcune caratteristiche per guidare nella scelta del prodotto più adatto.
Per semplificare le procedure imposte dal GDPR, evitare gli errori e quindi risparmiare tempo, sarebbe opportuno utilizzare uno strumento informatico in grado di svolgere, in maniera automatica o semi-automatica, le seguenti attività:
- consentire lo scambio di informazioni tra titolare e interessato solamente dopo che quest’ultimo ha preso visione dell’informativa privacy
- rimuovere automaticamente dall’archivio aziendale tutti i dati le cui finalità di trattamento sono concluse e quelli per cui l’interessato ha revocato il consenso;
- raccogliere e gestire le informazioni trattate in modo sicuro, consentendo l’accesso solamente alle persone autorizzate previa autenticazione;
A queste caratteristiche se ne aggiungono altre di natura tecnica quali:
- crittografazione dei dati
- pseudonimizzazione delle informazioni
- accesso tramite autenticazione (a due fattori se necessario)
CONCLUSIONI
Il trattamento dei dati è il fondamento attorno al quale ruota l’intera gestione della privacy. Esserne consapevole e progettarlo correttamente è cruciale per operare in modo corretto e conforme al GDPR.
PersonalDOX è lo strumento software che abbiamo progettato per aiutare il titolare del trattamento a progettare e mettere in pratica i suoi trattamenti di dati. Nasce con lo scopo di rendere più semplici gli adempimenti previsti dalla normativa e lo scambio di documenti e dati personali con l’interessato.
Se vuoi saperne di più visita la pagina di PersonalDOX
Approfondimenti
Condividi:
Articoli collegati
L’informativa privacy
Il principale strumento per informare l’interessato al trattamento
La profilazione
Un puzzle fatto con i pezzi della nostra identità
Digitalizzazione e dematerializzazione degli archivi
La digitalizzazione dei documenti è un percorso che tutte le aziende dovranno intraprendere
Gamification e privacy
Il divertimento in azienda è positivo, attenzione però alla privacy
L’errore umano nella gestione della privacy
La causa principale delle violazioni dei dati è da imputare all’errore umano