La digitalizzazione delle procedure aziendali e quindi dei flussi di lavoro è una leva potente per condurre l’azienda verso la conformità alla normativa europea a tutela della protezione dei dati personali. Gli obiettivi dei due processi, sebbene diversi, possono contare su un set di metodologie e azioni comuni da intraprendere che determinano sinergie importanti assolutamente da tenere in considerazione nella strutturazione dei workflow aziendali e nella realizzazione del piano di compliance al GDPR e la predisposizione della relativa documentazione.
Indice degli argomenti
Il principio di accountability
Il GDPR 2016/679 ha tra i suoi principi fondanti quello della “accountability”, ovvero della responsabilità del titolare del trattamento dei dati definito letteralmente dalla norma come “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.
Tale responsabilità implica che, il titolare o chi per lui, secondo quanto previsto dall’art.32 in merito alla sicurezza del trattamento, metta in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio tenendo conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati”.
Le misure tecniche necessarie devono essere implementate “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”; ne deriva che tali misure, per essere valutate dagli organi ispettivi, devono essere documentate in modo completo ed esaustivo in relazione all’elenco dei trattamenti effettuati all’interno dell’azienda chiamato registro dei trattamenti.
La prima e fondamentale misura da adottare consiste nel rispettare quanto previsto dalla L.196 del 2003 in materia di privacy, ossia fare in modo che i dati utilizzati, in ragione del tipo di trattamento da eseguire, siano “pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati”; occorre in sostanza fare in modo, e soprattutto dimostrare, che i trattamenti vengano eseguiti solo ed esclusivamente da operatori specificatamente autorizzati e che ci sia la garanzia che nella loro esecuzione vengano utilizzati solo i dati strettamente necessari al completamento degli stessi.
Per fare un semplice esempio concreto l’ufficio amministrazione che effettua i bonifici relativi alle spettanze del personale ha bisogno di un set ridotto di dati rispetto all’ufficio personale che elabora i cedolini paga, e solo di questi deve poter disporre.
GDPR e procedure aziendali
L’impatto di questa normativa sulle procedure aziendali è a questo punto evidente, come lo è altrettanto che queste devono essere oggetto di una accurata verifica e spesso di una profonda revisione: è a questo punto che la digitalizzazione dei flussi di lavoro aziendali inizia a procedere di pari passo con la compliance alla normativa a tutela della privacy, in quanto costituisce la soluzione più potente e affidabile per regolare l’accesso a dati e documenti e contemporaneamente essere la più facilmente rappresentabile su documenti e verificabile in caso di accertamento.
L’importanza dell’analisi e della documentazione delle procedure aziendali assume a questo punto una rilevanza fondamentale per fare in modo che queste ultime siano costruite su solide basi di razionalità nell’individuare i dati necessari per ogni fase del flusso di lavoro e le relative modalità di trattamento: anche per questo è necessario privilegiare il dato più che il documento che lo può contenere, in quanto i dati possono essere filtrati e contestualizzati in infiniti modi affinché diventino informazioni utili, mentre la stessa cosa non si può dire dei documenti analogici che statici per forza di cose, conterranno sempre informazioni ridondanti rispetto alla reale necessità di uno specifico step di avanzamento lavoro.
Come scegliere il software di gestione documentale
Un buon software di gestione documentale e workflow sarà sicuramente in grado di soddisfare tutte queste esigenze, permettendo di pari passo la semplificazione delle procedure stesse, regolandone l’avanzamento e diminuendo quando serve l’area di discrezionalità affidata agli operatori, potendo contare su queste prerogative:
- accesso all’applicazione tramite credenziali riservate (Username e password). Misura ripresa dal DL 196/2003 Allegato B – misure minime di sicurezza. L’accesso deve essere protetto da una password degna di essere definita tale per ottemperare anche alle richieste del GDPR 2016/679;
- profilazione delle autorizzazioni utente sull’accesso a dati e documenti e relative operazioni di trattamento. La protezione del dato/documento è coniugata con la messa a disposizione dell’utente dei soli dati utili alla sua mansione riducendo tempi di ricerca ed errori;
- uniformazione delle operazioni eseguibili tramite apposita configurazione delle stesse con conseguente riduzione degli errori, per aumentare correttezza ed affidabilità del dato;
- elevata possibilità di automatizzare operazioni ripetitive che non necessitano di interventi da parte dell’operatore rende possibile un trattamento sicuro nella sua esecuzione e riduce il numero di accessi in consultazione velocizzando il flusso;
- tracciabilità dell’esecuzione delle operazioni e degli accessi effettuati ai dati in visualizzazione, modifica, cancellazione. La disponibilità di un log storico, creato automaticamente dal software, delle operazioni effettuate per data – utente – tipologia è una delle misure tecniche più valide in ambito privacy e contemporaneamente permette di verificare l’affidabilità del flusso di lavoro individuando rapidamente le situazioni anomale;
- eliminazione della documentazione cartacea in transito all’interno dell’azienda. La riduzione della circolazione di documenti analogici all’interno dell’azienda aumenta la sicurezza del trattamento e allo stesso tempo razionalizza le operazioni;
- eliminazione delle ridondanze di dati garantendone la correttezza e l’affidabilità anche e soprattutto per le esigenze di analisi aziendali;
- eliminazione dei problemi generati da disallineamenti nell’aggiornamento dello stesso dato;
- estese possibilità di comunicazione dati, informazioni, documenti in modo rapido soddisfacendo contemporaneamente la disponibilità del dato su richiesta dell’interessato e riducendo i tempi di trattamento;
- possibilità di creazione automatismi di fascicolazione logica di documenti e comunicazioni. La corretta archiviazione dei documenti riduce i tempi di consultazione e di ricostruzione di eventi che si protraggono nel tempo: validissima soluzione per avere accesso alla completa documentazione di una persona fisica, ma anche per tenere traccia ordinata di una trattativa commerciale;
- elevata accessibilità al dato (anche da remoto) pur mantenendo il controllo su di esso, anche attraverso funzioni di ricerca avanzata parametrizzabili e possibili anche sul contenuto dei documenti. La possibilità di ricerca anche nel contenuto dei documenti di un nominativo, piuttosto che di un semplice riferimento commerciale o di produzione mette nelle condizioni gli uenti di procedere alla ricerca utilizzando le modalità comuni a tutti i web browser, è superfluo spiegare oltre il numero e l’importanza dei vantaggi ottenibili.
Ognuno di questi punti vitali per l’operatività dell’azienda, costituisce una delle misure tecniche da implementare richieste dal GDPR per rendere il trattamento dati ragionevolmente sicuro, per cui è non solo possibile, ma anche raccomandabile che la digitalizzazione di procedura e la valutazione di conformità al GDPR avvenga contestualmente e si produca adeguata documentazione a supporto dell’analisi effettuata e della mappatura della soluzione adottata, anche in funzione della determinazione del rischio richiesta dalla normativa privacy.
La protezione dei dati aziendali
La nuova normativa privacy in sostanza, non si ripete mai abbastanza, non è il distratto scambio di consensi, informative, policy aziendali sottoscritte spesso dopo una lettura superficiale, bensì è un approccio concettuale e metodo di lavoro. Un’altra considerazione importantissima che deve essere fatta, riguarda anche la protezione del dato non a beneficio della persona fisica, come richiesto dal GDPR, ma soprattutto a protezione dei dati riservati dell’azienda stessa, che deve tutelare al meglio il proprio patrimonio di dati e informazioni che se sottratte genererebbero un danno importante; l’approccio di analisi e di documentazione deve essere il medesimo se si vuole tenere sotto controllo importanti dati commerciali o tecnici di produzione: non stiamo parlando di dati personali o sensibili di persona fisica oggetto della normativa privacy, ma sono più che convinto che qualsiasi imprenditore considera altrettanto sensibili molti dei dati che abitualmente vengono trattati in azienda.
Si rende necessario entrare nell’ordine di idee che la protezione attraverso la digitalizzazione deve essere attuata sul dato o sul documento “a prescindere dalla sua natura”: facendo questo, oltre a evitare qualche salatissima sanzione, potrete senz’altro ottenere importanti benefici a livello di produttività delle risorse umane e riduzione dei costi indiretti. In sostanza lavorate in questa direzione prima di tutto per voi: il resto diventerà un conseguenza tutto sommato logica.
