
GDPR e Marketing: la profilazione
Cos’è la profilazione?
- Una è quella dell’articolo 4, punto 4, del GDPR,
- l’altra è presente nelle Linee guida in materia di trattamento dei dati per profilazione online del 19 marzo 2015, stilate dal Garante.
- La definizione del GDPR
- La definizione delle linee guida dell’Autorità Garante
Tornando al nostro esempio. Quando Peppino va in banca a chiedere un prestito, non decide l’addetto, decide l’algoritmo della banca se concederlo o meno.
Cosa deve fare chi fa profilazione per le sue attività di marketing
I diritti degli interessati nella profilazione
- Diritto ad essere informato – Abbiamo già detto che dobbiamo dare un’informativa, in cui diciamo che facciamo profilazione e se ci sono processi decisionali automatizzati.
- Diritto di accesso – L’utente può chiedere di vedere il profilo che è stato creato su di lui o su di lei, quindi non solo i dati personali usati, ma anche quelli che risultano dall’analisi dei suoi comportamenti.
- Diritto alla rettifica e alla cancellazione – L’utente può chiedere che tutto il suo profilo venga cancellato e che i suoi dati vengano rettificati, e in qualsiasi momento può chiedere la limitazione della profilazione.
Attenzione alle discriminazioni
Ma non lo può fare, per legge.

GDPR: Cosa deve contenere un’informativa?
Lo so, non è bello e qualcuno fra chi legge si scandalizzerà, ma per me l’informativa sono le mutande, e guardando le aziende e gli enti in Italia ho capito che sono di tre tipi.
Senza informativa, con l’informativa inadeguata, con l’informativa di un altro
Bene. Allora come deve essere l’informativa? Cosa deve contenere?
I contenuti dell’informativa sulla privacy
1) Chi è l’interessato
L’interessato è la persona fisica a cui si riferiscono i dati personali.
2) Chi effettua il trattamento
È il soggetto che tratterà i dati della persona fisica, cioè il titolare del trattamento e se presente, l’informativa dovrà indicare anche il suo rappresentante.
3) Se nominato, i recapiti del DPO
Il DPO è obbligatorio? Non per tutti. Deve essere nominato obbligatoriamente dai titolari e dai responsabili del trattamento che hanno come attività principale il monitoraggio regolare e sistematico degli interessati su larga scala, che fanno trattamenti su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati. Hanno questo obbligo, per esempio, le banche, le assicurazioni, le società di revisione contabile, quelle di recupero crediti, partiti e sindacati, caf, ospedali, call center… l’elenco è disponibile sul sito del Garante.
4) Quali sono i trattamenti effettuati e perché
5) Qual è la base giuridica del trattamento
6) Quali sono i dati raccolti
- le informazioni identificative – nome, cognome, data e luogo di nascita, residenza, domicilio, immagini che ritraggono la persona –,
- le informazioni che una volta venivano chiamate dati sensibili – orientamento sessuale, condizioni di salute, origine razziale ed etnica, convinzioni religiose, filosofiche, opinioni politiche, adesione a partiti, sindacati, organizzazioni di varia natura –,
- le informazioni giudiziarie, che possono rivelare l’esistenza di provvedimenti giudiziari
- i dati legati alle nuove tecnologie: dati relativi alle comunicazioni elettroniche telefoniche e internet – come l’indirizzo IP -, i dati che permettono di geolocalizzare una persona, quelli genetici e biometrici.
7) Se il trattamento comporta operazioni automatizzate, come la profilazione
8) Se i dati verranno comunicati a soggetti esterni (responsabili esterni)
L’informativa deve indicare se i dati vengono comunicati ad altri soggetti, diversi dal titolare del trattamento, cioè i responsabili esterni.
Esempio–Michela, lavora in un’azienda metalmeccanica di Albinea che si affida ad uno studio di Reggio Emilia per fare le buste paga. Lo studio paghe quindi è un responsabile esterno: non è necessario che nell’informativa compaia la ragione sociale, la sede e i contatti del consulente ma almeno l’indicazione che i dati di Michela verranno gestiti per obblighi di legge e contrattuali da studi esterni si, fermo restando che Michela potrà sempre chiedere evidenza puntuale ed ecco che i dati dello studio paghe dovranno essere presenti sul Registro dei Trattamenti.
9) Per quanto tempo saranno conservati i dati e in che modo
10) Se i dati saranno trasferiti in altri Paesi e come
11) Quali sono i diritti dell’interessato
-
il diritto a essere informati su come e perché vengono trattati i suoi dati
-
il diritto di accedere ai propri dati
-
il diritto di poter correggere i propri dati
-
il diritto alla cancellazione dei dati da parte del titolare e dei responsabili
-
il diritto alla portabilità dei dati, cioè chiedere che i dati vengano o trasferiti direttamente ad un’altra azienda, quando è possibile tecnicamente
-
il diritto all’obiezione, cioè di chiedere all’organizzazione che elabora i dati personali – sulla base di un proprio legittimo interesse o come parte di un’attività di interesse pubblico o per un’autorità ufficiale – di non utilizzarli
-
il diritto a non essere oggetto di scelte automatizzate, come la profilazione
Chi deve redigere l’informativa?
L’informativa deve essere redatta dai Titolari del trattamento.

GDPR – Come fare telemarketing a norma

Il marketing con i social e gli SMS è telemarketing? No, facciamo alcune distinzioni importanti
Il consenso: quando e come richiederlo

Come fare telemarketing a norma

L’informativa: cosa deve contenere
Articolo tratto dall’intervento dell’Avvocato Francesca Bassa su RAISE Academy.


GDPR – La verifica del registro dei trattamenti
Cos’è il registro dei trattamenti e cosa contiene

Anche perché se si acquisiscono ulteriori dati rispetto alle finalità, la sanzione è fino a 20 milioni di euro!
- Le finalità del trattamento, cioè il motivo per cui raccogli i dati personali. Per fare pubblicità? Per fare altro? Per cosa?
- Le categorie di dati trattati (dati personali comuni, particolari, di credito e così via).
- Le categorie di interessati, cioè delle persone fisiche: sono dipendenti, clienti, prospect?
- I tempi di conservazione: per quanto tempo tratti quei dati?
- Le misure di sicurezza: quali soluzioni fisiche, tecnologiche ed organizzative hai adottato per garantire la protezione dei dati? Esempio. Oggi tutti accedono a tutto: non va bene. Perché poi può succedere quello è che accaduto di recente con la TIM – un caso che è uscito su tutti i giornali – in cui si è scoperto che alcuni dipendenti infedeli sono entrati nel database con le loro password e hanno scaricato centinaia di migliaia di dati personali dei clienti per rivenderli ad altre società. Se mi occupo dei clienti, devo accedere solo ai dati dei clienti. Se mi occupo dei fornitori, devo accedere solo ai dati dei fornitori. Se mi occupo di geolocalizzazione, accedo solo a quei dati. Ai dati dei dipendenti devono accedere solo i dipendenti dell’HR. Ognuno accede ai dati che gli servono per la sua attività lavorativa. E la Guardia di Finanza ci guarda!
- I trasferimenti: i destinatari (persone fisiche o giuridiche) a cui saranno comunicati i dati e il Paese di destinazione. Devi sapere a chi hai comunicato i dati di Peppino, Antonio e Giulia.
- I dati di DPO e Cotitolari
Registro, informativa, sistemi informatici: tutto deve essere allineato
Il registro dei trattamenti deve essere aggiornato, altrimenti non è adeguato

Può essere cartaceo o in digitale, l’importante è che sia immediatamente consultabile
Il Regolamento non prevede particolari formati, quindi il titolare può scegliere liberamente se usare un foglio cartaceo, un foglio Excel, un documento elettronico, un software o altro per redigerlo e aggiornarlo. L’importante è che dia una visione immediata dei trattamenti che vengono fatti. E allora qui anche la scelta del formato ha le sue conseguenze.
Chi è obbligato a istituire il registro dei trattamenti?
Tutti i titolari e responsabili con meno di 250 dipendenti, ma solo se non fanno trattamenti di rischio. Che cosa vuol dire? Vuol dire che possono essere rischiosi per i diritti e le libertà dell’interessato, che il trattamento non sia occasionale o che non riguardi dati particolari (ex sensibili). Quindi, sostanzialmente, sono tenuti all’obbligo di redazione del registro esercizi commerciali, esercizi pubblici o artigiani che hanno almeno un dipendente – bar, ristoranti, officine, negozi e così via – o che trattano dati sanitari dei clienti: parrucchieri, estetisti, ottici, odontotecnici, tatuatori. Ma anche i liberi professionisti con almeno un dipendente o che trattano dati sanitari o relativi a condanne penali o reati: commercialisti, avvocati, medici in generale, fisioterapisti, farmacisti, osteopati e così via. Sono obbligati anche associazioni, fondazioni, comitati che trattano dati particolari – associazioni che tutelano malati, persone con disabilità, associazioni sportive, partiti, sindacati e così via – e anche i condomini che trattano categorie particolari di dati, per esempio in caso di delibere per l’abbattimento di barriere architettoniche.
In generale, il Garante raccomanda la redazione del registro – in forma completa – a tutti i titolari e responsabili del trattamento.


GDPR – Standard Security Clauses (SSC): cosa sono

Trasferimento dei dati all’estero VS trasferimento transfrontaliero dei dati: quali sono le differenze
Invece, se il dato viene trasferito al di fuori dell’Unione Europea, le cose si complicano e si entra nell’ambito del trasferimento di dati all’estero.
Trasferimento dei dati all’estero: la White List dei Paesi adeguati

Quali sono i criteri in base ai quali l’Unione Europea decide se un Paese estero è adeguato o meno? Le decisoni vengono prese sulla base:
- delle norme in materia di privacy che ha adottato,
- degli impegni internazionali che ha sottoscritto,
- di come vengono applicate e rispettate queste norme.
Se il Paese risulta adeguato, la Commissione lo inserisce nella sua White List, che in questo momento comprende solo 15 Paesi e territori. Ma la White List non è immodificabile nel tempo.
Paesi fuori dalla White List e Standard Security Clauses


GDPR – Obiettivo: come fare (bene) il DPO

Per questo, la formazione per questo ruolo è particolarmente importante. Corsi e master non mancano, ma forse manca la qualità: la maggior parte dei corsi spesso non riesce a calare la teoria in modelli pratici da seguire nel lavoro giornaliero di un DPO.
La legge ci dice che il DPO deve:
- informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che trattano i dati personali;
- sorvegliare l’osservanza della normativa comunitaria e nazionale nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento riguardanti anche “l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”;
- fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
- cooperare con l’autorità Garante nazionale;
- fungere da punto di contatto per l’autorità Garante nazionale per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, nel caso, consultazioni relativamente a qualunque altra questione.
Si capisce bene che l’ambito di lavoro è veramente vastissimo ed il tutto è confermato dall’Autorità Garante: ”il DPO deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il Titolare nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare”. Garante dixit.
DPO: i requisiti (Ovvero cosa deve sapere)
Quindi quali SKILLS (oggi è di moda chiamarle così) devo avere? Quali corsi mi conviene frequentare?
Una prima considerazione da fare è sottolineare un aspetto che sembra sfuggire a molti, in relazione alla professionalità che il DPO deve possedere: a seguito della nomina ricevuta come DPO, infatti, molti ritengono di poter integrare le proprie competenze attraverso seminari, corsi, letture, ecc., ricercando patacchine e certificatucoli che poco hanno a che vedere con la capacità effettiva di riuscire a gestire ambiti complessi.
Se il vostro obiettivo è la PATACCA, ci sono decine di corsi di formazione e seminari per ottenerla.
Se il vostro percorso di formazione sta invece iniziando adesso, le prime conoscenze che vi servono partono dall’integrazione dei vocabolari.
Cosa intendo come Vocabolario? Intendo quell’insieme di definizioni, di metodi e di interpretazioni che sono alla base di questa professione in tutti e tre gli ambiti su cui il DPO opera (Legale, Tecnologico ed Organizzativo). Significa avere una solida padronanza almeno teorica di tutti gli argomenti ed aver quindi consolidato un metodo efficente per ricercare e valutare le fonti corrette ed efficaci.
ATTENZIONE: googolare “cosa significa accountability” oppure “l’antivirus è una misura obbligatoria per il GDPR?” NON è un metodo efficace.
Quindi a partire dalle competenze che avete, serve una formazione che integri le basi mancanti e vi dia la possibilità di capire cosa è giusto e cosa non lo è e vi permetta di valutare le fonti.
Conoscere i “vocabolari”, serve per poter disimpegnare i complessi compiti devoluti a questa figura, nella maggior parte dei casi occorre la presenza di diversi approfonditi saperi specialistici riferiti non solo al settore giuridico ma anche organizzativo, manageriale e tecnologico.
Verifica chi ti sta formando: è un DPO? Da quale ambito proviene?
La scelta di dove formarsi sui vocabolari deve basarsi sulla esperienza effettiva di chi sta erogando il corso.
Il docente è FONDAMENTALE. E’ un legale? Un informatico? Bene, ma non basta. E’ DPO? Dove? Fa formazione in Aula da quanto?
Queste domande sono fondamentali per definire se il Docente è in grado di trasferirci un vocabolario corretto, adeguato e non una rilettura a slide più o meno sistematica della legge o della tecnica.
Non serve a nessuno sapere tecnicamente come fare un HASH di un FILE, né che l’art 32 del GDPR ci dice questo e quell’altro (a leggere siamo capaci tutti, si spera!), ma serve avere approfondimenti operativi su come valutare l’aderenza di certe misure all’art 32 ad esempio.
Ci serve sapere quali sono i modi d’uso di una pec, cosa si intende per Accountability e come da DPO possiamo verificarla.
Una volta che padroneggiate i vocabolari nei tre ambiti, Legale, Tecnologico ed Organizzativo, è venuto il momento di cominciare a fare sul serio.
Come posso accrescere la mia competenza?
Ecco quindi che i corsi che ci possono servire debbono essere quelli con una fortissima impronta operativa, quelli che hanno workshop interattivi che ci mettono alla prova con casi pratici, quelli che ci portano esempi pratici di verifica, di ispezioni ricevute, di comportamenti da tenere, da attenzionare, di come sminare e gestire aspettative spesso non corrette dell’azienda che vede il DPO come il tuttofare della Compliance GDPR dell’azienda, quando è più un controllore di buone prassi.
In soldoni la formazione:
- deve farci crescere nell’operatività da DPO, ci deve fornire una serie di domande con le risposte incluse e una metodologia semplice, chiara e basata su una reale esperienza per riuscire a rispondere alle domande di cui ancora non abbiamo risposta.
- deve sempre avere una parte di workshop per permetterci il confronto con altri DPO con il docente. Ci deve essere la possibilità di simulare e di accedere ad un Know How che deve essere condiviso dal docente.
- ci deve aiutare a creare la nostra cheklist e ci deve aiutare a identificare gli strumenti che permettono di lavorare in efficienza.
Corsi per DPO: RAISE ACADEMY scopri la proposta formativa di PrivacyLab
RAISE ACADEMY è la nuova proposta formativa di PrivacyLab, un modello di formazione efficace che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
REGISTRATI E SCOPRI RAISE ACADEMY – https://www.raiseacademy.it/
FONTE: PrivacyLab BLOG – contributo di Andrea Chiozzi – socio fondatore e CEO di PRIVACYLAB SRL
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

GDPR – Phishing: cos’è, come riconoscerlo e come evitarlo
Cos’è il phishing
1) Invio massiccio di mail fasulle

2) Invio di SMS con un link per accedere ad un sito web fasullo
3) Attraverso un virus informatico
Come riconoscere un tentativo di phishing e come evitare di cadere nel raggiro?

- Controlla l’URL del link (l’URL è la stringa di testo del link, per esempio: https://nome.sito.it/)
- Fai attenzione ai link che iniziano con l’indirizzo IP
- Non compilare mai i campi all’interno di una mail
- Non aprire gli allegati di mail che non hai richiesto o che non conosci
- Non rivelare a nessuno le tue password e cambiale spesso
- Usa un antivirus e un software anti-phishing (e tienilo aggiornato)


GDPR – Covid-19: la scelta degli strumenti per gestire la Fase 2
Come scegliere gli strumenti per misurare la temperatura all’ingresso
Fondamentalmente, ci sono 3 tipologie di strumenti e quindi 3 diversi impatti sul GDPR:
È chiaro che se Peppino, l’addetto che misura la temperatura, non segna nulla, poi torna in ufficio e scrive una mail la titolare per dirgli “Guarda che Antonio è venuto a lavorare anche se aveva la febbre a 38 e l’ho rimandato a casa”, allora è un problema. Perché c’è un trattamento di dati personali. Quindi chi misura la temperatura deve essere formato e deve sapere che non deve scriverla da nessuna parte, neanche su carta di formaggio, altrimenti passa dei guai!
Qui, invece, l’impatto sul GPDR c’è. E ti obbliga ad aggiornare il registro, a nominare gli addetti perché avrai un archivio in più ed un trattamento aggiuntivo. Ti obbliga a verificare che il trattamento sia a norma, a fare la DPIA (Data Privacy Impact Assessment) (LEGGI QUI)e ad aggiornare eventualmente le informative, perché potrebbe essere un trattamento aggiuntivo che non avevi previsto. E chiaramente devi anche scrivere un protocollo per dare evidenza che tutti quelli che sono entrati, sono stati sottoposti ad una procedura per capire se fossero idonei all’ingresso oppure no. Se decidi di registrare l’idoneità è una cosa che va fatta.
Idem per il fornitore del Cloud (perché ci sono dei termoscanner che addirittura salvano in Cloud i dati!). E poi dovrai creare un protocollo, per dare evidenza di aver gestito in maniera puntuale le misure di sicurezza per la riapertura.
Termoscanner e GDPR: occhio allo strumento che scegli!
- Quali dati gestisce il termoscanner?
- Dove risiedono fisicamente queste informazioni? Sono salvate nel termoscanner? Il termoscanner non salva niente? Se è fatto in Cina, salva i dati in Cina?
- Il termoscanner salva dei video e delle immagini, oltre alle idoneità?
- Il termonscanner spara l’idoneità in Cloud?.
- Chi vede queste informazioni? E come le vede?


Però poi devi aggiornare il registro, l’informativa, fare la DPIA eccetera eccetera. Sta a te decidere.
Quindi devi attivarti per gestire il termoscanner come se avessi attivato la videosorveglianza, oltre a tutto quello che riguarda i trattamenti Covid.

- Devi verificare che i dati che vengono salvati in Cloud siano esattamente quelli corretti. Quindi, non deve essere salvata la temperatura, deve essere salvata solo l’idoneità.
- Devi fare tutta la trafila per il Cloud per verificare il fornitore, nominarlo responsabile esterno, verificare che sia adeguato e devi gestirlo come un fornitore di videosorveglianza che salva i dati in Cloud. È una cosa che si può fare – basta che non ci sia registrata la temperatura, se c’è la temperatura: no, non si può fare! – ma io tenderei personalmente a non farlo. Se decidi di farlo, l’importante è che tutta la catena di responsabilità sia stata resa chiara, evidente, gestita, condivisa e sicura. Cioè devi avere una responsibility chain chiara.

Forse devi aggiungere qualcosa anche nel registro dei trattamenti, indicando l’archivio in cui sono registrate le idoneità. Se poi l’archivio è in Cloud, dovrai nominare responsabile esterno chi gestisce il Cloud.


Le persone non idonee sono quelle che non hanno la mascherina e/o hanno una temperatura superiore a 37.5. Quindi, salvando l’idoneità, sei assolutamente a posto.
Gestione dei dati e termoscanner che salvano le immagini: io ci starei lontano
Attenzione agli strumenti col bollino! Non è detto che siano conformi al GDPR
Come si verifica il fornitore del dispositivo che misura la temperatura?
Non devi verificare la qualità tecnica del fornitore. Devi verificare che l’azienda e il suo prodotto abbiano le caratteristiche adeguate a trattare i dati che tu, come titolare, hai scelto di trattare. Quindi:
Ogni tot di tempo hai l’obbligo di verificare il fornitore. Verifichi se i trattamenti che sta facendo per te sono ancora compliant. E come fai a verificarlo? Ad esempio, chiedendo il documento di Compliance aziendale. Se poi è un fornitore che fa la manutenzione, serve anche la nomina da amministratore di sistema, che è tornata prepotentemente fuori, perché la Guardia di Finanza sta iniziando a chiederla in maniera puntuale e precisa.
Come scegliere gli strumenti digitali che registrano i questionari
- capire se salva i dati
- e se salava i dati, quali dati sono e dove li salva
- chi li vede e come
- nominare il fornitore responsabile esterno
- verificare l’adeguatezza del fornitore

GDPR – Come si è arrivati al GDPR: dalla privacy al Regolamento

1890, “The Right to Privacy” e la differenza tra protezione del dato e diritto alla privacy
La differenza tra privacy e protezione del dato personale
- quando parliamo di privacy e di riservatezza intendiamo la tutela della sfera privata secondo la tradizione americana,
- mentre la protezione del dato riguarda tutte le informazioni su una persona.
Costituzione italiana (1947) e Convenzione CEDU (1950): tutela della sfera privata dallo Stato
1978 e 1981. Le prime norme sulla protezione dei dati personali
1992. CE, Mercato unico, libera circolazione delle merci, delle persone e dei dati personali
La differenza tra direttive e regolamenti
- Le direttive sono vincolanti per gli Stati nei fini, ma non nei mezzi; quindi fissano l’obiettivo, ma lasciano ai singoli Paesi uno spazio di interpretazione molto ampio e la possibilità di adottare norme nazionali che recepiscono le indicazioni della direttiva.
- I regolamenti sono immediatamente vincolanti in tutto il territorio dell’UE, senza atti di recepimento, in modo uniforme (quindi è come se fossero delle leggi emanate dal Parlamento, solo che valgono per tutti i paesi dell’Unione).
Direttiva 46 del 1995, Codice Privacy e Trattato di Lisbona (2007)
2016. Regolamento generale sulla protezione dei dati (GDPR) e Codice novellato
- Il trattamento di dati sensibili (oggi particolari): dati genetici, dati sulla salute, l’orientamento sessuale, le convinzioni religiose, le opinioni politiche eccetera.
- La disciplina dell’Autorità: ogni Stato ha un’autorità – un organo nazionale – che garantisce la tutela dei dati personali, ma l’UE non può imporre un modello unico uguale per tutti i Paesi. Ogni Stato alle sue regole costituzionali. Per esempio, in Italia l’Autorità Garante viene nominata dal Parlamento. Quindi questo aspetto resta in capo ai singoli Stati.
- Parte della disciplina sulle sanzioni. L’UE non ha competenze penali, che spettano ai singoli Stati – è il principio di Sovranità dello Stato – quindi può comminare solo sanzioni amministrative. Una sorta di multa. Però, nei casi più gravi, ha dato la possibilità ai singoli Stati dell’UE di prevedere una sanzione penale che viene data dal giudice, non dall’Autorità Garante (che resta un organo amministrativo e che quindi non si occupa di reati penali).
- Il sistema della Soft Law, cioè di tutti gli atti che non provengono dal legislatore – nel caso italiano dal Parlamento – ma da altri soggetti. Questi atti sono strumenti che servono a rispettare gli obblighi di legge. Per esempio, in Italia sono i codici deontologici delle varie categorie professionali, le autorizzazioni generali del Garante, le normative di condotta e i sistemi di certificazione.

GDPR – Cosa vuol dire “compliance”
Il significato di compliance
La conformità in azienda: cosa vuol dire essere compliant
- Conformità alla legge – L’azienda è compliant quando rispetta le norme per la tutela dei lavoratori e la sicurezza sul lavoro, paga le tasse, non usa personale in nero, versa i contributi. Cioè agisce nel rispetto della legge.
- Conformità ad uno standard – Tipico delle aziende produttive, anche il rispetto di determinate qualità e caratteristiche di un prodotto è un esempio di compliance.
- Conformità a delle best practice o ai codici deontologici – È compliant l’azienda che rispetta le buone pratiche, i codici deontologici e tutte le regole di soft law, cioè le norme che non sono emanate dal Parlamento e dagli organi dotati di potere legislativo, ma che indicano le regole di comportamento di una certa categoria o di un settore.
Secondo una prospettiva economico-aziendale, il termine compliance è messo in relazione al sistema di controllo interno, inteso come «l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione dei principali rischi, una conduzione dell’impresa sana, corretta e coerente con gli obiettivi» Comitato per la corporate governance, Borsa Italiana S.p.a. (Codice di autodisciplina, 2006).
Cosa vuol dire essere compliant al GDPR
Per essere conformi, bisogna agire con accountability
1 – Consapevoli
- quali dati trattano
- dove si trovano i dati raccolti
- di chi sono
- come vengono utilizzati
- perché vengono utilizzati
Quindi, per essere consapevoli, la prima cosa da fare è formarsi e rivolgersi a dei consulenti esperti e aggiornati, che siano un aiuto concreto verso la compliance al GDPR.