Il GDPR non impartisce solo meri obblighi normativi cui le aziende devono sottostare. Rappresenta anzi un trampolino verso nuove opportunità, come per esempio l’inizio di un percorso di riorganizzazione aziendale e di digitalizzazione.
Per fare ciò è indispensabile assicurarsi che i progetti di adeguamento alla normativa non si limitino all’aspetto formale, con il solo scopo di evitare sanzioni da parte delle autorità di controllo. Al contrario, è fondamentale che l’adeguamento vada, ove necessario, a modificare anche in maniera sostanziale il modello organizzativo adottato, i rapporti con i soggetti terzi, i processi aziendali e gli strumenti utilizzati per il loro svolgimento.
Vediamo qual è la situazione.
Indice degli argomenti
L’impatto del GDPR sulle aziende
Il GDPR e il D.lgs. 101/2018 con cui è stato recepito in Italia hanno cambiato il modo in cui affrontare il tema relativo alla tutela delle informazioni, quando riferibili a persone fisiche. Se infatti l’adeguamento alla normativa presentata nel Codice Privacy del 2003 era stato spesso svolto come una pura attività formalistica, la nuova disciplina richiede che i soggetti che trattano dati personali debbano approcciare la materia con più senso critico, prestando attenzione tanto all’aspetto formale degli adempimenti, che a quello sostanziale.
Anche se molti obblighi introdotti dal GDPR erano già previsti dalla disciplina precedentemente vigente, questa era stata in molti casi sottovalutata, portando soggetti sia pubblici che privati a trascurare un corretto adeguamento alle previsioni normative. Per questo motivo il nuovo regolamento è stato visto e presentato come un cambiamento radicale nella gestione dei dati personali.
Questo e il fatto che il GDPR preveda sanzioni potenzialmente molto pesanti in caso di inadempimento, hanno fatto sì che molte società che precedentemente avevano trascurato la corretta gestione dei dati personali si siano attivate per adeguarsi alla normativa aggiornata.
Nonostante sia passato più di un anno e mezzo dal momento in cui il GDPR è divenuto direttamente applicabile, alcune società hanno comunque continuato a trascurato il tema della protezione dei dati personali.
In altri casi, invece, si è scelto di continuare a gestire in modo puramente formalistico gli adempimenti alla normativa, senza andare a valutare, nel concreto, se e come i trattamenti di dati personali svolti incidano sui soggetti interessati, e se i principi della normativa siano concretamente rispettati.
In generale, il GDPR viene ancora spesso visto come un fastidioso rallentamento dell’attività aziendale. Questo è particolarmente sentito soprattutto nel panorama industriale italiano, costituito in gran parte da piccole e medie imprese, in cui manca spesso una sensibilità per l’importanza della tutela dei dati personali, e in cui sono sottovalutati gli impatti di una loro gestione superficiale e poco sicura.
Le società che hanno investito per conformarsi al Regolamento generale sulla protezione dei dati lo hanno fatto principalmente per raggiungere un livello di adeguatezza tale da evitare sanzioni significative. Questo ha spesso portato a privilegiare un’attività di produzione documentale, da presentare in caso di una visita ispettiva, rispetto ad un concreto adeguamento ai principi fondanti del GDPR.
Ciò che spesso viene trascurato è il fatto che un investimento sulla protezione dei dati personali, qualora ricerchi un adeguamento sostanziale alla normativa, porta una serie di vantaggi che vanno oltre agli aspetti di compliance, andando invece a migliorare l’efficienza, la sicurezza e la reddittività della società.
Passando in rassegna alcuni tra i principali aspetti individuati dalla normativa è possibile riconoscere il valore aggiunto che le attività di adeguamento portano ai processi aziendali.
GDPR e aziende: predisposizione del registro dei trattamenti
Il GDPR richiede che chi tratta dati personali mantenga un registro in cui documentare una serie di informazioni relative ai trattamenti di dati personali svolti. Questo registro dei trattamenti, se predisposto con ordine e trasparenza, è certamente utile come documento da presentare in caso di ispezione, ma può favorire una maggior organizzazione ed efficienza interna, soprattutto in considerazione degli step necessari per arrivare alla versione completa del registro stesso.
In particolare, per mappare correttamente i trattamenti di dati personali svolti, è necessario conoscere quali sono i processi aziendali. Questo infatti permette di individuare gli ambiti nei quali vengono svolte le varie attività di trattamento e le loro caratteristiche, come la tipologia di dati trattati, i fornitori coinvolti nello svolgimento delle attività, o la presenza di trasferimenti di dati verso paesi terzi.
Non sempre le aziende dispongono di una puntuale mappatura dei vari processi aziendali, e il GDPR può fare da leva svolgere questa attività. La possibilità di conoscere i dettagli dei processi svolti, dunque, non agevola solo la compilazione del registro dei trattamenti, ma permette di individuare inefficienze nelle attività aziendali, od opportunità di migliorarne la gestione.
La predisposizione di un registro dei trattamenti richiede inoltre di indicare quali sono le misure di sicurezza adottate. Per tale ragione è necessario, in via preliminare, conoscere quali sono gli strumenti utilizzati per lo svolgimento dei trattamenti.
Il censimento in un elenco degli strumenti informatici, e in generale degli asset utilizzati per il trattamento di dati personali, è quindi uno passaggio preliminare necessario alla definizione del registro, ma soprattutto favorisce una più chiara organizzazione aziendale, portando anche ad una maggior comprensione del modo in cui le informazioni (e non solo i dati personali) circolano all’interno dell’azienda.
Questo aspetto può risultare utile, al di là del mero aspetto organizzativo, per individuare possibili punti di miglioramento del sistema informativo aziendale e per incentivare pratiche di digitalizzazione delle informazioni. Ciò risulta indispensabile, in vari settori produttivi, anche nella prospettiva di un progressiva diffusione di modelli di business legati all’Industry 4.0, in cui la circolazione dei dati provenienti dalla varie aree aziendali, e la loro qualità, costituiscono e costituiranno un fattore chiave per garantire il successo e la competitività aziendale.
La normativa non richiede che nel registro dei trattamenti siano individuati dei soggetti responsabili del corretto svolgimento delle attività di trattamento documentate. Tuttavia, questa associazione può risultare estremamente utile per garantire che le informazioni inserite nel registro siano mantenute aggiornate e corrette nel tempo, e per consentire che i trattamenti di dati personali siano svolti in modo conforme a quanto indicato.
Per fare ciò è necessario disporre di un organigramma aziendale aggiornato. Sebbene per grandi società questo possa sembrare un aspetto scontato, non sempre vi è una chiara definizione dei ruoli aziendali all’interno di un modello organizzativo. L’assenza di un organigramma può causare una gestione non ottimale delle risorse aziendali, provocando possibili duplicazioni o inefficienze dei processi, e rendendo più difficile ogni progetto migliorativo, in mancanza di ruoli chiari a cui attribuire specifiche responsabilità.
Valutazione del rispetto dei principi generali
Il GDPR stabilisce che i trattamenti di dati personali debbano essere soggetti ad una serie di principi che ne garantiscono la legittimità. Questo aspetto è spesso quello più trascurato dalle imprese, in quanto richiede non solo la volontà di svolgere una serie di adempimenti “tangibili” (predisposizione del registro, presentazione delle informative, definizione degli accordi con i responsabili, etc.), ma anche quella di approfondire la materia, e di accettare che in alcuni casi le prassi e i processi aziendali debbano essere modificati per rispettare i diritti degli interessati.
Tra i principi previsti dal GDPR vi è quello che impone la limitazione della conservazione dei dati al periodo strettamente necessario a raggiungere le finalità definite. Ciò obbliga ad una riflessione sui vari trattamenti svolti, e sull’effettiva necessità di conservare determinate informazioni.
È molto diffusa la tendenza a mantenere ogni documento o dato per un tempo indeterminato, finché viene a mancare lo spazio, fisico o digitale, in cui conservarlo. Spesso questo porta ad un utilizzo poco razionale delle risorse e a costi maggiori per le società, dovuti da un lato alla necessità di dotarsi di spazi di archiviazione più capienti, dall’altro ai crescenti costi dovuti alle tempistiche sempre più lunghe necessarie per la consultazione e gestione di maggiori quantità di informazioni, spesso mantenute in modo non organizzato.
Lo sforzo di valutare e adottare una politica di conservazione delle informazioni, o perlomeno di definire un periodo di conservazione per i dati personali trattati, dunque può risultare utile per molteplici ragioni.
In primo luogo, quest’attività permette di adeguare i trattamenti a quanto previsto dalla normativa in materia di protezione dei dati personali e di diminuire la probabilità di incorrere in sanzioni o in contrasti con i soggetti interessati. I dati personali, infatti, una volta che non sono più utili, costituiscono una vulnerabilità per la società, potendo essere utilizzati dai soggetti interessati come leva per sollevare contenziosi contro la società stessa. Anche i competitor possono essere interessati ad esporre criticità nei modi in cui sono mantenuti i dati personali dei concorrenti, al fine di danneggiarli sotto il profilo economico o reputazionale.
Una seconda ragione a per adottare una politica di conservazione dei dati riguarda invece gli aspetti organizzativi. Definire dei termini temporali per la cancellazione delle informazioni obbliga infatti a svolgere due operazioni preliminari: una valutazione delle informazioni presenti negli archivi fisici e digitali, e una modifica dei processi che consenta, nel tempo, di individuare prontamente le informazioni da eliminare. Come anticipato, ciò porta ad una maggior efficienza e un minor dispendio di risorse economiche e temporali.
Un ultimo beneficio di questa attività di riordino e di modifica dei processi riguarda, di nuovo, la facilità di sviluppare progetti di trasformazione digitale. Il rispetto dei termini di cancellazione è infatti più semplice da gestire quando il processo stesso è gestito in modo automatizzato su informazioni conservate in supporti informatici.
Questo non può che incentivare l’adozione di politiche di data governance applicabili a tutte le informazioni, e non solo i dati personali, che portino valore aggiunto all’azienda, facilitando le valutazioni strategiche, il calcolo di indicatori di performance, lo sviluppo di progetti di business intelligence, e un sempre più ampio ricorso ad attività automatizzate.
GDPR e aziende: il principio di legittimità
Un altro principio individuato dal GDPR è il cosiddetto principio di legittimità. Semplificando, la normativa prevede che i trattamenti di dati personali possano essere svolti solo qualora questi siano posti in essere sulla base di specifiche motivazioni, come ad esempio la necessità di dare esecuzione ad un contratto, di rispettare un obbligo di legge, o l’ottenimento del consenso da parte del soggetto interessato.
Questo comporta una nuova valutazione dei trattamenti svolti, al fine di individuare quali di queste basi di legittimità ricorra di volta in volta. Ciò obbliga ad un’ulteriore attività di riordino e organizzazione dei processi, e di eventuale modifica degli stessi, nel caso in cui non vi siano ragioni giustificative valide per i trattamenti svolti.
Tale valutazione consente indirettamente la raccolta di dati personali di maggior qualità (ad es. una raccolta di consensi fatta in modo trasparente, per quanto riguarda una campagna di marketing, permette di investire su soggetti effettivamente interessati ai prodotti o servizi offerti, evitando di sprecare risorse su contatti inutili), e talvolta porta ad una pulizia e riordino degli archivi aziendali.
Come ulteriore vantaggio, una maggior trasparenza (dovuta ad una chiara individuazione delle basi giuridiche applicabili) può migliorare il rapporto con clienti, utenti e altri soggetti interessati, oltre a ridurre il numero di contestazioni ricevute per trattamenti di dati indesiderati.
Valutazione del rischio e adozione di misure di sicurezza
Un ulteriore aspetto rilevante, affrontato dal GDPR è quello relativo alle misure di sicurezza. Il regolamento infatti prevede la necessità di valutare la rischiosità dei trattamenti svolti, e successivamente di prevedere delle misure di sicurezza, tecniche e organizzative, adeguate alla rischiosità rilevata. Le misure di sicurezza adottate vanno poi indicate nel registro dei trattamenti.
Questa attività, se svolta correttamente, porta a dei vantaggi che vanno al di là del semplice adeguatezza normativa. L’adozione di misure di sicurezza ai sensi del GDPR può essere integrata nell’ambito della gestione della sicurezza informatica.
Sebbene gli interessi tutelati siano diversi (la protezione dei diritti degli interessati, nell’ambito del GDPR; la tutela degli interessi aziendali, nel caso della sicurezza informatica), i mezzi per conseguire una protezione adeguata dei dati sono in molti casi sovrapponibili.
Da un lato è da considerare l’adozione di misure di sicurezza tecniche quali l’adozione di password con un certo livello di complessità, la predisposizione di sistemi di backup o l’aggiornamento degli antivirus.
Dall’altro va anche valutata la predisposizione di misure di sicurezza organizzative, come l’attribuzione di ruoli e responsabilità nei vari processi aziendali che prevedono il trattamento di dati personali, o come l’adozione di procedure per la disciplina di vari aspetti quali la gestione degli strumenti informatici, i processi di business continuity, e così via.
È evidente che l’implementazione di adeguate misure di sicurezza a tutela dei dati personali si vada a riflettere sulla generale sicurezza informatica aziendale, finendo in ultima istanza a proteggere non solo le informazioni relative a persone fisiche, ma tutto il patrimonio informativo aziendale, come documenti relativi a disegni di prototipi, dati relativi a progetti di ricerca, o database contenti dati di contatto preziosi per lo sviluppo di attività commerciali.
Per questo motivo gli investimenti sulla sicurezza informatica, spesso posti in secondo piano quando non del tutto dimenticati, dovrebbero ricevere una maggior considerazione non solo per evitare sanzioni da parte del Garante privacy, ma anche per minimizzare il rischio che il funzionamento dei processi aziendali, e quindi il business della società, possa essere danneggiato da incidenti informatici.
Conclusione
La normativa a protezione dei dati personali prevede molti ulteriori adempimenti che, oltre a garantire la tutela dei dati personali, portano dei vantaggi indiretti al business aziendale. L’individuazione dei responsabili del trattamento e la definizione di accordi rispettosi del GDPR, ad esempio, permette di rivedere il modo in cui i dati personali vengono gestiti da fornitori o altri soggetti a cui la società esternalizza parte delle proprie attività.
Spesso, infatti, si trascura di valutare il rischio che deriva dal consentire l’accesso e l’utilizzo di informazioni aziendali a soggetti esterni, che spesso agiscono senza disporre di misure di sicurezza adeguate, rendendo molto più probabile il mancato rispetto dei principi del GDPR, ed aumentando il rischio di incidenti come la perdita o la cancellazione – anche accidentale – di dati personali.
In conclusione, il GDPR può certamente essere visto come un punto di riferimento da cui partire per garantire un maggiore livello di trasparenza e sicurezza nei trattamenti dei dati personali, promuovendo la tutela dei diritti degli interessati e rafforzare la fiducia dei cittadini europei nei confronti del progresso tecnologico.
Al contempo, questo regolamento può essere una stimolante rampa di lancio per dare il via a progetti di riorganizzazione aziendale che portino ad un riordino dei processi, ad una miglior gestione degli archivi digitali e cartacei, e che spianino la strada ad un inevitabile processo di trasformazione digitale, che sia però affrontato in modo consapevole e capace di sfruttare appieno i vantaggi offerti dalle nuove tecnologie.
Se ciò può sembrare un investimento sproporzionato per un’attività di compliance, anche tenendo conto dell’entità delle sanzioni finora comminate, può essere utile vedere il GDPR non solo come una serie di istruzioni per una corretta tutela dei dati personali, ma anche come una guida verso un modello di business più etico, moderno, redditizio e sicuro.
