7 punti da cui partire per gestire la privacy in azienda o in una attività professionale

19.06.24 11:26

Per ogni ente, grande o piccolo, la protezione dei dati personali deve essere oggi una delle priorità e delle sfide da affrontare e gestire.

Non è solo dovere ma anche senso profondo della nostra umanità e valore e vantaggio competitivo.

L’attenzione alla protezione dei dati personali rappresenta anche un tassello fondamentale delle strategie ESG di ogni attività e mette al riparo da possibili sanzioni.


Ecco alcuni passaggi fondamentali “di base” da affrontare in azienda:


1. Fare l’analisi dell’azienda e individuare quali attività di trattamento di dati personali svolge.

Così è possibile capire quali dati vengono trattati e impostare un idoneo modello di organizzazione della privacy.


2. Predisporre un registro delle attività di trattamento:

è previsto dal GDPR e aiuta a dimostrare la conformità e a tenere una mappa delle attività di trattamento svolte.


3. Predisporre le informative privacy per gli interessati:

occorre informare le persone interessate su come vengono trattati i loro dati personali, qual è la base giuridica che consente il trattamento, le finalità dell’uso dei dati, i loro diritti, …


4. Identificare i ruoli all’interno dell’azienda e nominare i soggetti incaricati del trattamento dei dati, dando loro idonee istruzioni (predisponendo anche un Regolamento aziendale ad hoc per l’uso della strumentazione informatica, della posta elettronica aziendale, …).


5. Individuare e definire se e quali sono i soggetti esterni all’azienda che trattano dati per suo conto, i c.d. responsabili del trattamento, verificando che vi sia un idoneo contratto o un atto giuridico che disciplini il trattamento.


6. Fare l’analisi dei rischi associati al trattamento dei dati e implementare misure di sicurezza, organizzative e tecniche adeguate alla realtà aziendale e ai dati trattati (es. cifratura dei dati, backup, limitazione degli accessi, …) e, nel caso di violazione di dati personali e incidenti informatici, implementare un sistema per gestire adeguatamente il data breach.


7. Valutare la necessità od opportunità della nomina di un DPO (Data Protection Officer o Responsabile per la protezione dei dati) e, se necessario, nominarlo.

[…] privacy come valore attorno al quale ricostruire un nuovo patto sociale: anello di congiunzione tra pubblico e privato, precondizione di ogni altro diritto civile […] Porre la dignità al centro dello sviluppo tecnologico significa definire i valori del futuro.


Privacy 2030: Una nuova visione per l’Europa Giovanni Buttarelli, Garante protezione dati