Passa al contenuto
Fai una domanda
  • Non sono presenti suggerimenti perché il campo di ricerca è vuoto.

Quali sono gli adempimenti da considerare?

Risposta a cura del DPO dell' Ordine degli Architetti PPC della Provincia di Milano

RGB_Ordine_positivo

Gli adempimenti sono i seguenti:

  1. Nei casi previsti dall'articolo 37 del GDPR, designare un DPO (NB: solitamente non è necessario prevederlo per uno studio di architettura); in tutti gli altri casi, si consiglia di individuare un "referente privacy" (anche se non obbligatorio; può essere un consulente esterno); questo è il primo passaggio perché tutte le altre attività vanno coordinate con questa figura.
  2. Riesaminare l'applicazione territoriale (articolo 3 del GDPR) per evitare di considerare trattamenti esclusi dal GDPR; in particolare il GDPR è applicabile anche alle sedi estere delle organizzazioni con sede nell’Unione europea e alle organizzazioni estere che vendono prodotti e servizi a persone nell'Unione.
  3. Predisporre il registro dei trattamenti; si può partire da una tabelle con i campi relativi a: dati, trattamento e finalità, ruolo dell’organizzazione (ossia se agisce come titolare o responsabile), archivi fisici dove sono conservati i dati, sistemi informatici usati per trattare i dati, interessati (persone a cui si riferiscono i dati), tipi di dati personali (p.e. anagrafici, di contratto, appartenenti a categorie particolari, giudiziari), base giuridica per il trattamento, responsabili trattamento coinvolti, altre entità a cui sono trasferiti i dati, se il trattamento o una sua parte avviene al di fuori dello Spazio economico europeo (SEE) o con strumenti al di fuori dello SEE, tempi di conservazione.
  4. Condurre una valutazione del rischio relativo alla privacy.
  5. Per i trattamenti più "rischiosi", condurre una “Valutazione d’impatto” o, in inglese, “Data privacy impact assessment”, da cui gli acronimi DPIA o PIA.
  6. Predisporre le informative, ossia descrizioni sulle finalità per cui sono raccolti e trattati i dati e sulle misure adottate, da fornire agli interessati (per uno studio di architettura è solitamente necessario prevederle per i dipendenti e collaboratori, per le persone fisiche che rappresentano i clienti e i fornitori e per i cookies del sito web).
  7. Raccogliere i consensi necessari, ricordando che la sua richiesta deve essere chiara e "separata" dalle altre materie (solitamente, uno studio di architettura non tratta dati per cui è richiesto il consenso, se non intende inviare a e-mail o indirizzi personali materiale promozionale o pubblicitario).
  8. Verificare che gli interessati possano revocare il consenso "con la stessa facilità con cui è accordato" (si suggerisce di aprire una casella e-mail dedicata).
  9. Gli interessati possono chiedere se sono trattati loro dati personali, chiarimenti su come sono trattati; possono anche richiedere di avere accesso ad essi e la loro rettifica e la loro cancellazione (se non impedito da altre normative) e la limitazione del trattamento (sempre se non impedito da altre normative). Stabilire un processo affinché gli interessati possano inviare le proprie richieste e sia fornita loro risposta entro un mese (si suggerisce di aprire una casella e-mail dedicata e incaricare una persona affinché la monitori regolarmente).
  10. Riesaminare tutti i contratti con i fornitori a cui si trasmettono dati personali e, se necessario, aggiornarli con quanto stabilito dall’articolo 28 del GDPR (impropriamente, questo adempimento è noto come “nomina dei responsabili”) prestando particolare attenzione ai trasferimenti extra-UE.
  11. riesaminare e, se necessario, aggiornare gli accordi con tutte le parti con cui sono scambiati i dati personali.
  12. Documentare, per esempio in un mansionario, quali trattamenti sono autorizzati a svolgere le aree aziendali, anche considerando quanto riportato nel Registro dei trattamenti (spesso, in uno studio di architettura, tutti devono trattare tutti i dati, con l’eccezione dei dati del personale e dei collaboratori che possono essere trattati solo da particolari persone).
  13. Stabilire un processo di assegnazione, modifica e riesame periodico delle autorizzazioni per accedere ai dati personali (questo andrebbe concordato con la persona o l’azienda che gestisce i sistemi informatici).
  14. Predisporre un regolamento privacy (che può anche essere esteso alla sicurezza delle informazioni) per tutto il personale e i collaboratori autorizzati a trattare i dati personali, con misure "generali" (p.e. proteggere i propri dispositivi informatici con password, tenere segreta la password).
  15. Stabilire un processo di gestione degli incidenti con impatto sui dati personali (a chi devono essere comunicati, chi deve trattarli, chi deve decidere se informarne gli interessati).
  16. Prevedere la cancellazione dei dati quando è terminato il periodo di conservazione (solitamente, 10 anni dopo la conclusione dei rapporti), ricordando che questo è sicuramente l'adempimento tecnologico più oneroso da realizzare con la tecnologia attuale.
  17. Stabilire un processo di audit interni per la privacy.

 

Aggiornato al 29/08/2025