Il GDPR non impone un singolo adempimento, ma un sistema di documenti, processi e misure tecniche che insieme dimostrano l'accountability dell'azienda, cioè la capacità di rendere conto attivamente di come tratta i dati personali. Non esiste una "certificazione GDPR" univoca: la conformità si dimostra attraverso un insieme coerente di elementi, ciascuno verificabile in caso di controllo. Contenuto informativo: la predisposizione di un sistema di conformità GDPR completo richiede sempre un DPO o un consulente privacy.
Le piccole e medie imprese italiane tendono a concentrarsi su un singolo aspetto (tipicamente il cookie banner, perché visibile) trascurando gli elementi meno visibili ma più controllati in un'ispezione effettiva, come il registro dei trattamenti e i contratti con i fornitori esterni.
Il nucleo documentale: registro e informative
Il registro delle attività di trattamento (art. 30) e le informative privacy per dipendenti, clienti e fornitori sono il primo livello di adempimento, e quello più frequentemente richiesto come primo documento in un'ispezione. Le informative devono essere specifiche per ciascuna categoria di interessati: un'unica informativa generica che copre dipendenti e clienti indistintamente è considerata inadeguata, perché le finalità di trattamento sono diverse.
I contratti con i responsabili esterni del trattamento
Ogni fornitore che tratta dati per conto dell'azienda (un servizio cloud, un consulente paghe, una piattaforma di email marketing) deve essere nominato responsabile del trattamento tramite un atto contrattuale specifico (art. 28 GDPR), che indica oggetto e durata del trattamento, natura e finalità, tipo di dati e categorie di interessati, obblighi e diritti del titolare. L'assenza di questi contratti, anche quando il fornitore è affidabile, è una violazione formale che il Garante rileva sistematicamente.
La DPIA per i trattamenti a rischio
La valutazione d'impatto sulla protezione dei dati (DPIA) è obbligatoria quando un trattamento presenta probabilmente un rischio elevato per i diritti e le libertà delle persone: monitoraggio sistematico e su larga scala di un'area accessibile al pubblico (videosorveglianza estesa), trattamento su larga scala di categorie particolari di dati, o uso di nuove tecnologie con impatto significativo (sistemi di profilazione automatizzata). Il Garante pubblica un elenco di tipologie di trattamento per cui la DPIA è sempre richiesta in Italia.
Le misure di sicurezza dell'art. 32
L'art. 32 richiede misure tecniche e organizzative adeguate al rischio: pseudonimizzazione e cifratura dei dati quando opportuno, capacità di garantire su base permanente la riservatezza, integrità, disponibilità e resilienza dei sistemi, capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati dopo un incidente, e una procedura per testare e valutare regolarmente l'efficacia delle misure adottate. Non è richiesta una soluzione tecnica specifica: è richiesta una valutazione documentata che giustifichi le scelte fatte in base al rischio concreto del trattamento.
Domande frequenti
- Quali sono gli adempimenti GDPR minimi per una piccola azienda?
Registro dei trattamenti, informative per dipendenti e clienti, nomina dei responsabili del trattamento esterni, misure di sicurezza tecniche minime, e un piano per gestire eventuali data breach entro 72 ore.
- Quando serve la DPIA?
Quando un trattamento presenta probabilmente un rischio elevato: monitoraggio sistematico su larga scala, trattamento di categorie particolari su larga scala, o uso di nuove tecnologie con impatto significativo.
- Cosa richiede l'art. 32 in termini di sicurezza?
Misure adeguate al rischio: pseudonimizzazione e cifratura, capacità di garantire riservatezza e integrità dei sistemi, capacità di ripristino dopo un incidente, e test periodici dell'efficacia delle misure.
- Cosa controlla il Garante in un'ispezione tipica?
Il registro dei trattamenti, le informative pubblicate, la base giuridica per ciascun trattamento, i contratti con i responsabili esterni, e la documentazione delle misure di sicurezza.