La SRL o SPA Megaditta (usiamo la terminologia fantozziana a titolo di esempio) per il suo funzionamento e la sua gestione, ha necessariamente bisogno di una quantità impressionante di dati personali. È una verità nota; notoria addirittura ma, ogni tanto, è bene ricordarlo a tutti noi.
Negli archivi, cartacei e informatici, la Megaditta conserva nomi, cognomi, schede anagrafiche e tutti i contatti di clienti, fornitori, dipendenti, consulenti, sindacalisti, avvocati e notai e così via.

A tutti questi dati essenziali si possono aggiungere altri elementi identificativi dei soggetti quali i dati di fatturazione, conti correnti e carte di credito, iscrizioni a sindacati o indicazione di partiti per i quali il lavoratore chiede di essere rappresentante di lista. Aggiungiamo i dati di familiari a carico con eventuali patologie, disabilità, requisiti per chiedere i benefici della L. 104, indicazioni sulla religione o anche di genere e preferenze sessuali.

Se la nostra Megaditta si occupasse di consulenza finanziaria dovrà acquisire le denunce dei redditi di tutti i clienti e le visure catastali; un’assicurazione ha bisogno di dettagliate informazioni mediche e potremmo continuare per ogni tipologia di attività fino a giungere ai casi più complessi dei grandi e-commerce che, veramente, vengono a sapere veramente tutto di ciascuno di noi.

Potrebbe interessarti > Alla fiera della catena della privacy. Le opportunità che una corretta applicazione del GDPR mette a disposizione per una migliore organizzazione aziendale

A questa mole di informazioni aggiungiamo ora tutte quelle raccolte sui siti web aziendali. Una semplice navigazione permette di avere un ID, sapere quanto tempo il navigatore in questione trascorre su quel sito e quali pagine o argomenti apre. Una richiesta di preventivo o informazioni può dire molto sulla persona che è dall’altra parte dello schermo.

Tutto ciò, anche se in misura apparentemente ridotta vale anche per piccole imprese individuali, professionisti, notai e commercialisti, una scuola di lingue e un centro estivo per bambini così come per la polisportiva locale e l’associazione amanti della bruschetta.
Il quadro qui solo brevemente accennato è comunque sufficientemente chiaro e dovrebbe fare riflettere imprenditori, professionisti, associazioni: anche loro raccolgono dati e devono fare i conti con il GDPR.

Per saperne di più > Quanto costa un piccolo Data Breach per una piccola impresa?

Tutti questi dati, infatti, devono essere raccolti, trattati, processati, conservati e, alla fine, distrutti, nel rispetto di una normativa sempre più stringente come ci insegnano i provvedimenti del Garante.
Purtroppo, ancora, qualcuno pensa che il GDPR si possa ridurre a una informativa copia incolla sul sito e un antivirus. Non ci stancheremo di ripetere che non è così.

Sono molti gli aspetti da considerare e molte imprese e professionisti evitano di farlo in attesa che, (non augurandolo) giunga una sanzione da parte del Garante a ricordare loro queste omissioni di adeguamento ad obblighi di legge.

Approfondisci l'argomento > Cyber risk e cybersecurity: tutto ciò che un imprenditore deve sapere - gli aspetti legali

Ma, oltre a far riflettere su quanti e quali siano i dati che la Megaditta (o il consulente del lavoro) deve avere e trattare per il proprio lavoro, la domanda successiva deve obbligatoriamente essere quella su chi e perché debba entrare in contatto con questi dati.
Segretarie, reception, personale di desk, tecnici informatico, contabilità, risorse umane, processi produttivi, marketing e ufficio acquisti sono solo alcuni dei reparti aziendali e non è assolutamente detto che tutti debbano entrare in contatto con i dati sopra indicati; semmai proprio l’esatto contrario.

Ecco perché, nel momento in cui viene predisposta la privacy policy aziendale, è necessario che il dirigente d’azienda o l’imprenditore, abbiano ben chiaro come debba funzionare il flusso e la gestione dei dati all’interno della propria struttura.
Una segretaria non dovrebbe venire in contatto con i dati fiscali di un cliente, destinati all’amministrazione; l’ufficio personale non ha bisogno di conoscere i nominativi dei clienti. E così via.

Una volta eseguita detta analisi l’imprenditore, insieme al suo consulente privacy e, laddove nominato, del DPO, sarà adesso in grado di gestire la catena interna della privacy, il flusso dei dati e, come logica conseguenza, predisporre lettere di incarico customizzate per ogni responsabile o incaricato.
L’organizzazione aziendale potrebbe anche risentirne positivamente.