Normativa GDPR e falsi miti: chi è tenuto ad adeguarsi?

A partire dal 25 maggio, professionisti e aziende devono essere conformi alla nuova normativa europea (GDPR) in materia di trattamento dei dati personali.
Chiunque gestisca un sito web, un database di nominativi o svolga attività di promozione e marketing che prevedono l’uso di dati personali è pertanto interessato dalla normativa GDPR.
In particolare occorre sfatare alcuni falsi miti sull’opportunità di adeguarsi o meno.
1) Io non invio newsletter, quindi non mi riguarda.
L’art. 4 del GDPR specifica che il trattamento dati è “qualsiasi operazione che coinvolge dati personali come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione” degli stessi. Quindi se anche solo conservi dei dati personali in azienda, devi rispettare il GDPR.
2) Io non tratto dati particolari come dati relativi alla salute, quindi non mi riguarda.
La normativa si applica a chi tratta tutti i tipi di dati personali, non solamente a quelli particolari (ex sensibili). L’art. 4 del GDPR definisce i dati personali come “qualsiasi informazione riguardante una persona fisica identificata o identificabile, direttamente o indirettamente, attraverso nome, numero di identificazione, dati sull’ubicazione, identificativi online o caratteristiche personali”. Si parla di dati personali anche in caso di email, nickname, IP e cookie.
3) La mia azienda è già seguita da una web agency, che gestisce tutto.
Il responsabile finale del trattamento dei dati è l’azienda. Affidare i propri dati personali ad agenzie o freelance esterni presuppone un contratto di ripartizione delle responsabilità valido a fini legali.
4) Tutti i nominativi del mio archivio sono stati raccolti con il consenso, quindi sono a posto.
Per poter essere utilizzati nelle tue attività aziendali, devi aver raccolto i nominativi del tuo archivio secondo le nuove regole imposte dalla normativa GDPR. Non è detto quindi che le liste dei nominativi raccolte prima del 25 maggio siano ancora riutilizzabili.