GDPR: mero adempimento o spinta all’innovazione per le Aziende?

gdpr

È necessario essere subito molto chiari: il GDPR nelle aziende non è un mero adempimento. Ma piuttosto la nuova normativa, se affrontata correttamente, è un trampolino che può spingere le imprese in un percorso di riorganizzazione e ottimizzazione.

L’obiettivo deve essere un serio e continuo adeguamento atto a modificare, anche in maniera sostanziale, il modello organizzativo aziendale; non è concepibile in materia di data protection limitarsi ad un aspetto formale con il solo scopo di evitare sanzioni da parte delle autorità di controllo.

L’impatto del GDPR sulle aziende

Il GDPR e soprattutto il D.lgs. 101/2018 con cui è stato recepito in Italia hanno cambiato in maniera profonda il modo con cui affrontare il tema relativo alla tutela delle informazioni riferibili a persone fisiche.

Anche se molti degli obblighi introdotti dal GDPR erano già previsti dalla disciplina precedente, questa era stata in molti casi sottovalutata, portando soggetti sia pubblici che privati a trascurare un corretto adeguamento alle previsioni normative. Questo e il fatto che il GDPR preveda sanzioni potenzialmente molto pesanti in caso di inadempimento, hanno fatto sì che molte società che precedentemente avevano trascurato la corretta gestione dei dati personali si siano attivate per adeguarsi alla normativa aggiornata.

Ad oggi, secondo alcune statistiche, sono ancora molte le società che continuano a sottovalutare la normativa o a non applicarla. Il GDPR viene ancora troppo spesso visto come un noioso e fastidioso rallentamento delle normali funzioni operative della propria azienda, invece di considerare questo adeguamento come un vero e proprio slancio verso una riorganizzazione di alcuni processi aziendali. Questo gap è davvero molto sentito in una nazione come l’Italia che vede un’alta percentuale di piccole e medie imprese nel suo panorama industriale, e si sa che sono queste le realtà a cui storicamente, per diversi motivi, manca una cultura della protezione e sicurezza del dato. Sono però proprio queste realtà ad essere più esposte ai rischi a cui la nuova normativa mira a mettere un freno.

Anche le società più grandi che hanno investito per conformarsi al Regolamento generale sulla protezione dei dati lo hanno fatto principalmente per raggiungere un livello di adeguatezza tale da evitare sanzioni significative. Questo porta a privilegiare una di per sé sterile attività documentale da presentare in caso di una visita ispettiva.

Passiamo in rassegna due dei principali aspetti individuati dalla normativa e vediamo, ove possibile, di riconoscere il valora aggiunto che il GDPR può dare al nostro business.

 

Il principio di legittimità

Uno dei principali indicatori di per essere compliance al nuovo Regolamento è il principio di legittimità. La normativa, con l’art. 6 del Regolamento generale sulla protezione dei dati, prevede che i trattamenti di dati personali possano essere svolti solo qualora questi siano posti in essere sulla base di specifiche motivazioni, come ad esempio la necessità di dare esecuzione ad un contratto, di rispettare un obbligo di legge, o l’ottenimento del consenso da parte del soggetto interessato.

Questo comporta una nuova valutazione dei trattamenti svolti, al fine di individuare quali di queste basi di legittimità ricorra di volta in volta. Ciò obbliga ad un’ulteriore attività di riordino e organizzazione dei processi, e di eventuale modifica degli stessi, nel caso in cui non vi siano ragioni giustificative valide per i trattamenti svolti.

Il primo chiaro vantaggio che l’operatività di un’azienda può trarre implementando questo adempimento è una maggior qualità dei dati raccolti, che risulteranno veritieri, accurati e quindi più facilmente utilizzabili. Come ulteriore vantaggio, una maggior trasparenza può migliorare il rapporto con clienti, utenti e altri soggetti interessati, oltre a ridurre il numero di contestazioni ricevute per trattamenti di dati indesiderati.

 

Valutazione del rischio e adozione di misure di sicurezza

Altro aspetto rilevante, affrontato dal GDPR, è quello relativo alle misure di sicurezza. Il regolamento infatti prevede la necessità di valutare attentamente gli eventuali rischi derivanti dai dati raccolti, e successivamente di prevedere delle misure di sicurezza, tecnico organizzative, adeguate al livello di rischio rilevato in fase di analisi. Le misure di sicurezza adottate vanno poi indicate nel registro dei trattamenti.

Questa attività, se svolta correttamente, porta a dei vantaggi che vanno al di là della semplice adeguatezza normativa. L’adozione di misure di sicurezza ai sensi del GDPR può essere integrata nell’ambito della gestione della sicurezza informatica.

Sebbene gli interessi tutelati siano diversi, i mezzi per conseguire una protezione adeguata dei dati sono in molti casi sovrapponibili.

Da un lato è da considerare l’adozione di misure di sicurezza tecniche quali l’adozione di password complesse, la predisposizione di sistemi di backup o l’aggiornamento degli antivirus e l’utilizzo di firewall o strutture tecnicamente anche più complesse.

Dall’altro però va anche verificata e valutata la capacità di utilizzo delle tecnologie usate a protezione da parte del personale dipendente. La formazione è un aspetto fondamentale per la protezione, formazione che per altro è ampiamente raccomandata nel Regolamento. La mancata formazione all’utilizzo degli strumenti, di fronte ad una avanzata struttura informatica a tutela della sicurezza, equivale a munirsi della miglior cassaforte senza verificare che i dipendenti sappiano correttamente chiuderla.

Sono infine anche da valutare altri aspetti come ad esempio: l’attribuzione di ruoli e responsabilità nei vari processi aziendali che prevedono il trattamento di dati personali, o l’adozione di procedure per la disciplina di vari aspetti quali la gestione degli strumenti informatici, i processi di business continuity, e così via.

Il vantaggio di questa analisi e della successiva implementazione è evidente: ogni azienda avrà sempre ben chiaro e sotto controllo il suo livello di sicurezza sia da un punto di vista strutturale che di usabilità da parte del personale dipendente. Queste procedure quindi se ben svolte non andranno solo a tutelare i dati personali, ma anche la generale sicurezza informatica aziendale, finendo in ultima istanza a proteggere non solo le informazioni relative a persone fisiche, ma tutto il patrimonio informativo aziendale, come documenti relativi a disegni di prototipi, dati relativi a progetti di ricerca, o database contenti dati di contatto preziosi per lo sviluppo di attività commerciali.

Per questo motivo gli investimenti sulla sicurezza informatica, ma soprattutto sulla formazione all’utilizzo degli strumenti implementati, spesso posti in secondo piano se non del tutto dimenticati, dovrebbero ricevere una maggior considerazione non solo per evitare sanzioni da parte del Garante privacy, ma anche per minimizzare il rischio che il funzionamento dei processi aziendali, e quindi il business della società, possa essere danneggiato da incidenti informatici.

Autore dell'articolo

Maggiori informazioni? Entra in contatto








    I campi contrassegnati con * sono obbligatori.