Skip to main content







Privacy aziendale: il punto sull’applicazione del regolamento GDPR

L’entrata in vigore del Regolamento dell’Unione Europea 2016/679 (GDPR Privacy), applicato a partire dal 25 maggio 2018, ha cambiato sostanzialmente la gestione dei dati e della Privacy nelle aziende. A sei anni di distanza, è opportuno porsi alcune riflessioni sulla sua applicazione pratica.

Con il GDPR si passò da un approccio formale (tipico del D.lgs. n. 196/2003, laprecedente norma di riferimento in materia di Privacy) a un approccio sostanziale, basato sulla concreta affidabilità e responsabilità dei soggetti – le aziende – che effettuano il trattamento di dati, cui è demandato il compito di predisporre le misure tecniche e organizzative necessarie.  Se da una parte questo ha portato a trattare i dati con maggiore consapevolezza e riservatezza, dall’altra ha lasciato alle aziende la scelta delle modalità (tecniche e giuridiche) per attuare il dettato normativo, assegnando loro ulteriori responsabilità.

Una delle più importanti differenze del GDPR rispetto alla precedente normativa è, infatti, l’introduzione del principio di “responsabilizzazione” in capo alle imprese, che attribuisce alle stesse più discrezionalità nella scelta delle misure da attuare per proteggerne i dati, ma, nello stesso tempo, ne aumenta i rischi; il Titolare del Trattamento (l’azienda) è responsabile per qualsiasi trattamento di dati personali che abbia effettuato direttamente o indirettamente e, in caso di controllo da parte degli enti preposti, risponde della gestione dei dati in suo possesso e delle modalità che ha deciso di adottare per il perseguimento delle proprie finalità.

La percezione da parte delle aziende dei diversi adempimenti in materia di Privacy come meri obblighi burocratici, e le difficoltà nell’applicazione della norma, non aiutano. Inoltre, in caso di violazione della normativa, le sanzioni previste sono importanti, anche se nella loro applicazione pratica si tiene conto di diversi fattori come la gravità, la natura, la tipologia e la durata della violazione, il numero di soggetti interessati coinvolti e il fatturato dell’azienda.

All’entrata in vigore del GDPR (2018-2019), le imprese hanno cercato in qualche modo di adeguarsi, sia dal punto di vista giuridico (informative, nomine, autorizzazioni, etc.) sia dal punto di vista tecnologico (password adeguate, riservate e periodicamente aggiornate, operazioni di back-up, antivirus, etc.).

Novità (e strumenti per le imprese)

Oggi, a distanza di sei anni, occorre innanzitutto tenere presente che le aziende sono soggette a continue trasformazioni e, nel corso degli anni, affrontano cambiamenti d’ogni genere: di natura produttiva (nuovi prodotti, nuovi mercati), di natura tecnologica (nuovi macchinari, installazione di videocamere o del sistema GPS, nuovi strumenti informatici), di marketing (attivazione del sito aziendale, newsletter, messaggi pubblicitari via email o WhatsApp, vendita on line), di personale (nuove figure professionali), di tipologia dei dati trattati, e così via.

Inoltre, negli ultimi anni si è assistito a una sempre maggiore informatizzazione delle attività, anche con l’utilizzo di tecnologie estremamente innovative che, se non vengono debitamente gestite dalle aziende, possono far subire loro un danno grave come il furto, o la perdita di dati, o l’utilizzo di informazioni al di fuori dei casi consentiti dalla normativa.

Ad ogni cambiamento, l’azienda deve sempre interrogarsi se esso è stato trattato in modo che soddisfi la normativa in materia di protezione dei dati personali, se il personale è stato adeguatamente formato, se è stato previsto un limite temporale alla conservazione dei dati, se sono state adottate le misure che garantiscano la sicurezza informatica di fronte a eventuali attacchi di hacker professionisti. 

Appare pertanto opportuno effettuare un’adeguata valutazione sull’applicazione nel tempo della normativa Privacy all’interno della propria azienda, in modo da individuare eventuali carenze o possibili mancanze che possono esporla al rischio di sanzioni o di danni aziendali.

Per assistere le aziende, Confartigianato Imprese Vicenza ha messo a punto una propria task-force di esperti legali e informatici, coordinati da Alessandra Cargiolli (tel. 0444168357, email: a.cargiolli@confartigianatovicenza.it) che è a disposizione per ogni informazione al riguardo.