CASE STUDY – Normativa GDPR/Privacy
Il contesto
Un agente ci ha contattati perché, negli anni, aveva gestito l’area della normativa GDPR/Privacy in modo non organizzato, con evidenti carenze a livello di rispetto della normativa:
- Negli anni aveva redatto ed utilizzato specimen diversi di informativa privacy in veste di titolare del trattamento: alcuni facevano riferimento alla normativa antecedente a quella in vigore ed altri risultavano aggiornati solo in parte al Reg. UE GDPR. Il portafoglio Clienti era quindi gestito con informative non omogenee, alcune delle quali non conformi.
- Non tutti i consensi al trattamento dei dati da parte dei clienti venivano raccolti con un modulo firmato. Quindi non veniva adottato un protocollo uniforme e non sempre si poteva conservare la copia sottoscritta come prova.
- I fornitori esterni che gestivano dati per conto dell’agenzia (ad esempio commercialista e consulenti informatici) non erano mai stati nominati formalmente come “responsabili esterni del trattamento”. Quindi, in caso di problema, non ci sarebbe stata chiarezza sulle responsabilità.
- Non era presente un registro dei trattamenti aggiornato, il documento obbligatorio che per il GDPR deve elencare tutti i trattamenti dei dati svolti in azienda (clienti, collaboratori, fornitori, marketing, ecc.).
Il problema principale era evidente: in caso di richiesta di esercizio dei diritti da parte di un cliente o di un controllo da parte delle Compagnie mandanti (che nel corso delle audit richiedono anche i protocolli di normativa GDPR adottati), la società non sarebbe stata in grado di fornire procedure e documentazione completi e coerenti. Il rischio si presentava come elevato, sia in termini di reclami che di potenziali sanzioni.
