IL GDPR COME OCCASIONE DI SVILUPPO AZIENDALE

Per fare sì che ciò accada oggi è fondamentale che i progetti di adeguamento alla normativa non si limitino all’aspetto formale, con il solo scopo di evitare sanzioni da parte delle autorità . Al contrario, è indispensabile che l’adeguamento vada  a modificare anche in maniera sostanziale il modello organizzativo adottato, i rapporti con i soggetti terzi, i processi aziendali e gli strumenti utilizzati per il loro svolgimento.

Ma come può accadere ciò?

Innanzitutto la nuova normativa in materia privacy (GDPR e D.lgs 101/2018) prevede un radicale cambio di approccio all’argomento, gli adempimenti privacy non devono più difatti essere intesi come mere attività formali ma, nell’ottica del principio cardine della responsabilizzazione (l’ accountability anglosassone) degli operatori si dovrà prestare attenzione tanto agli aspetti formali quanto, e soprattutto, a quelli sostanziali. 

Per questo motivo il nuovo regolamento è stato visto e presentato come un cambiamento radicale nella gestione dei dati personali.

Tuttavia nonostante siano passati quasi quattro anni dal momento in cui il GDPR è divenuto direttamente applicabile, molte aziende continuano, ancora oggi, a trascurare l’argomento. In altri casi, invece, si sceglie di continuare a gestire in modo puramente formalistico gli adempimenti alla normativa, senza andare a valutare, nel concreto, se e come i trattamenti di dati personali svolti incidano sui soggetti interessati, e se i principi della normativa siano concretamente rispettati.

In generale, il GDPR viene ancora spesso visto come un fastidioso rallentamento dell’attività aziendale. Questo è particolarmente sentito soprattutto nel nostro paese, costituito in gran parte da piccole e medie imprese, in cui manca spesso una sensibilità per l’importanza della tutela dei dati personali, e in cui sono sottovalutati gli impatti di una loro gestione superficiale e poco sicura. Un esempio ne è stata la gestione dei dati necessari agli adempimenti richiesti dalla legge nel periodo della pandemia da COVID-19, dove molte realtà aziendali sono andate in grande difficoltà nella gestione dei dati relativi Green Pass, alle infezioni ed in generali ai flussi informativi, contenenti tra l’altro dati sensibili afferenti lo stato di salute anch’essi spesso gestiti in maniera superficiale e poco sicura. 

Le società che hanno investito per conformarsi al Regolamento generale sulla protezione dei dati lo hanno comunque quasi esclusivamente fatto per mettersi al riparo dalle possibili sanzioni. Questo ha spesso portato a privilegiare un’attività di produzione documentale, sterile e poco efficace, utile solo da presentare in caso di ispezione del garante, rispetto ad un concreto adeguamento ai principi fondanti del GDPR.

Ciò che spesso viene trascurato è il fatto che un investimento sulla protezione dei dati personali, qualora ricerchi un adeguamento sostanziale alla normativa, porta una serie di vantaggi che vanno ben oltre al semplice aspetto di “essere a norma per evitare sanzioni”, andando invece a migliorare l’efficienza, la sicurezza e la capacità produttiva della società.

Ma quali possono essere questi concreti vantaggi? Per rispondere occorre analizzare i principali adempimenti richiesti dalla normativa, per non tediare troppo il lettore sintetizzeremo oggi gli elementi fondamentali approfondendo in futuro ogni singolo aspetto

In primis abbiamo la predisposizione del registro dei trattamenti che, lungi dall’essere un mero adempimento formale è in grado di favorire una maggior organizzazione ed efficienza interna. Permette infatti di:

• mappare correttamente i trattamenti di dati personali svolti individuando tipologia di dati trattati, soggetti coinvolti, trasferimento di dati verso paesi terzi;
• conoscere a fondo i processi aziendali;
• mappare e censire gli asset aziendali e gli strumenti informatici
• conoscere quali solo le misure di sicurezza adottate;

Tutto ciò garantirà una piu’ chiara visione d’insieme dell’organizzazione aziendale, aiutando a comprendere meglio come circolano le informazioni nell’azienda. Questo aspetto può risultare utile, al di là del mero aspetto organizzativo, per individuare possibili punti di miglioramento del sistema informativo aziendale e per incentivare pratiche di digitalizzazione delle informazioni. Ciò risulta indispensabile, in vari settori produttivi, anche nella prospettiva di un progressiva diffusione di modelli di business legati all’industria 4.0, in cui la circolazione dei dati provenienti dalla varie aree aziendali, e la loro qualità, costituiscono e costituiranno un fattore chiave per garantire il successo e la competitività aziendale.  

Le attività di trattamento devono poi anche conformarsi a principi di legittimità stabiliti dalla normativa. Uno su tutti quello della limitazione della conservazione dei dati solo per il periodo necessario al raggiungimento delle finalità preordinate. Ciò obbliga ad una riflessione sui vari trattamenti svolti, e sull’effettiva necessità di conservare determinate informazioni. È purtroppo infatti molto diffusa la tendenza a mantenere ogni documento o dato per un tempo indeterminato, finché viene a mancare lo spazio, fisico o digitale, in cui conservarlo. Spesso questo porta ad un utilizzo poco razionale delle risorse e a costi maggiori per le società, dovuti da un lato alla necessità di dotarsi di spazi di archiviazione più capienti, dall’altro ai crescenti costi dovuti alle tempistiche sempre più lunghe necessarie per la consultazione e gestione di maggiori quantità di informazioni, spesso mantenute in modo non organizzato: Lo sforzo di valutare e adottare una politica di conservazione delle informazioni, o perlomeno di definire un periodo di conservazione per i dati personali trattati, dunque può risultare utile per molteplici ragioni.

• adeguare i trattamenti a quanto previsto dalla normativa in materia di protezione dei dati personali e di diminuire la probabilità di incorrere in sanzioni o in contrasti con i soggetti interessati. I dati personali, infatti, una volta che non sono più utili, costituiscono una vulnerabilità per la società, potendo essere utilizzati dai soggetti interessati come leva per sollevare contenziosi contro la società stessa. Anche i competitor possono essere interessati ad esporre criticità nei modi in cui sono mantenuti i dati personali dei concorrenti, al fine di danneggiarli sotto il profilo economico o reputazionale.
• Definire chiaramente aspetti organizzativi quali ad esempio: una valutazione delle informazioni presenti negli archivi fisici e digitali, e una modifica dei processi che consenta, nel tempo, di individuare prontamente le informazioni da eliminare. 

Risultato? maggior efficienza e un minor dispendio di risorse economiche e temporali.

Ma non solo, sarà anche più facile sviluppare progetti di trasformazione digitale. Il rispetto dei termini di cancellazione è infatti più semplice da gestire quando il processo stesso è gestito in modo automatizzato su informazioni conservate in supporti informatici.

Un altro principio da tener ben presente quando si effettuano trattamenti dei dati è sicuramente il principio di legittimità che prevede che i dati possano essere trattati solo se si è in presenza di finalità lecite, come ad esempio la legge, o un contratto. Anche qui l’attività di indagine critica sulla corretta applicazione di questo principio porterà al concreto vantaggio di un riordino e organizzazione dei processi, e di eventuale modifica degli stessi, nel caso in cui non vi siano ragioni giustificative valide per i trattamenti svolti. Ma non solo, come ulteriore vantaggio ci sarà poi una maggior trasparenza (dovuta ad una chiara individuazione delle basi giuridiche applicabili) può migliorare il rapporto con clienti, utenti e altri soggetti interessati, oltre a ridurre il numero di contestazioni ricevute per trattamenti di dati indesiderati.

Il GDPR prevede inoltre l’adozione di misure di sicurezza protezione dei trattamenti dei dati. L’adozione di tali misure, quali ad esempio firewall, antivirus, backup, stanze archivio fisiche, a seguito di una corretta valutazione dei rischi relativi ai trattamenti svolti, garantirà una maggiore generale sicurezza di tutte le informazioni aziendali, siano essere cartacee o informatiche permettendo non solo di proteggere le informazioni relative a persone fisiche, ma tutto il patrimonio informativo aziendale, come documenti relativi a disegni di prototipi, dati relativi a progetti di ricerca, o database contenti dati di contatto preziosi per lo sviluppo di attività commerciali.

Pertanto la normativa a protezione dei dati personali prevede quindi molteplici adempimenti in grado non solo di garantire la tutela dei dati personali, ma portare innumerevoli vantaggi concreti al business aziendale. 

Se infatti il GDPR è visto come il fulcro in grado di garantire la trasparenza e la sicurezza nei trattamenti dei dati personali richiesta dalle autorità. Al contempo, questo regolamento rappresenta senza dubbio una fondamentale occasione per dare il via a progetti di riorganizzazione aziendale che portino ad un riordino dei processi, ad una miglior gestione degli archivi digitali e cartacei, e che incentivino ancor di più oggi, nel quadro post-pandemico di nuova crescita un inevitabile processo di trasformazione digitale, che sia però affrontato in modo consapevole e capace di sfruttare appieno i vantaggi offerti dalle nuove tecnologie. Se ciò può sembrare ad oggi un investimento sproporzionato, seppur le sanzioni comminate siano in rapida crescita sia per numero che per entità, può sicuramente essere utile vedere il GDPR non solo come una serie di istruzioni per una corretta tutela dei dati personali, ma anche come una guida verso un modello di business più etico, moderno, redditizio e sicuro.

E tu cosa aspetti? Contattaci subito per una consulenza gratuita