Sicuri di sapere tutto su #privacy e #gdpr ? Un breve ripasso è sempre utile! Chiunque, esercitando attività commerciali, imprese o professioni, tratta, con mezzi automatici o manuali, dati di persone fisiche, ha l′obbligo di preparare vari documenti e tenerli sempre pronti e aggiornati (pena sanzioni amministrative pecuniarie o penali e azioni civili di risarcimento danni). Medie, piccole e micro imprese godono di esenzioni. Norma base il Reg. UE 679/16, che sostituisce e abroga la Dir. 95/46/CE, attuato in Italia con d.lgs. 101/18. Dunque, cose da fare: Acquisire il consenso da ogni cliente/ paziente/ utente/ dipendente e per ogni singola finalità di trattamento dati, meglio se per iscritto. Prima, fornire l′informativa indicando: modo in cui sono raccolti, usati, consultati o altrimenti trattati i dati; identità del titolare; finalità specifiche del trattamento; diritti e garanzie degli interessati e modo di esercitarli (es. diritti di accesso, informazione, opposizione, rettifica, cancellazione dati o diritto all′oblio); rischi e norme in materia; categorie speciali di dati trattati (es. sensibili, sanitari, genetici, biometrici, di minori); soggetti cui possono essere comunicati i dati; periodo di trattamento e conservazione. Redigere la valutazione di impatto individuando i vari rischi e per ognuno origine, gravità e grado di probabilità che accada. Adottare un codice di condotta elencando tutte le misure tecniche e organizzative necessarie adottate per garantire un′adeguata sicurezza e riservatezza, anche per impedire l′accesso e uso non autorizzato ai dati e alle attrezzature impiegate per trattarli. Il codice va condiviso, spiegato e firmato dai dipendenti (autorizzati al trattamento). Se si condividono dati con collaboratori responsabili del trattamento (commercialisti, consulenti, tecnici informatici, persino il gestore delle mail o pec), inviare a ognuno una nomina e/o siglare con ognuno un contratto, informarsi sulla loro policy, meglio se è un meccanismo di certificazione approvato, e, se hanno sede in Paesi extra UE, verificare se c′è una decisione di adeguatezza su tali Stati. Tenere il registro delle attività svolte. Notificare eventuali violazioni. Tratto da un mio articolo pubblicato su "Il Quindicinale" n. 34 di giovedì 27.02.2020