GUIDA ALLA NORMATIVA

Il GDPR nei processi decisionali e organizzativi delle imprese: vantaggi e scenari operativi

L’impatto del GDPR nei processi decisionali e organizzativi delle imprese può essere trasformato in un’occasione di crescita. Ecco i vantaggi della corretta applicazione del Regolamento europeo e come trasformare la compliance normativa in un utile strumento di riorganizzazione dell’azienda stessa

27 Set 2019
A
Giuseppe Artioli

Consulente della Privacy - Privacy Officer TUV SUD Schema CDP n.reg.331

Dall’analisi dei principi fondamentali del Regolamento generale sulla protezione dei dati personali (GDPR) risulta evidente l’impatto che la normativa europea ha, oltre che sulla gestione del trattamento dei dati e della privacy degli utenti, sui processi decisionali e organizzativi delle imprese, offrendo degli spunti significativi per rilanciare l’organizzazione dell’azienda.

D’altronde, il GDPR può essere considerato a ragion veduta una delle novità imprescindibili per far fronte alle sfide della rivoluzione digitale, che pone al centro delle nostre vite e delle organizzazioni una mole enorme di dati e informazioni, con annessi rischi di violazione della privacy.

Ma le aziende stanno davvero sfruttando le opportunità offerte dal GDPR? Come possono le organizzazioni superare il concetto di adempimento normativo (GDPR=costo) trasformandolo in un’occasione di crescita?

Lo scenario operativo del titolare del trattamento

Fin dalla prima lettura del Regolamento emerge chiaramente la volontà del legislatore di dare una spinta decisiva al cambiamento nella gestione dei dati aziendali e, in particolare, al processo con cui i dati stessi sono gestiti.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza

È in questa direzione che va letta la figura del titolare del trattamento (art. 4 punto 7 e art. 24 del GDPR), che può e deve avere completa visibilità su tutti i processi aziendali.

Il titolare del trattamento è quindi in una posizione decisionale molto forte, è una figura che può “mettere ordine” nelle organizzazioni, razionalizzando e riorganizzando tutte quelle procedure che troppo spesso, nella rincorsa alla competitività e nell’era della digitalizzazione, sono state implementate in modo disordinato, senza una vera visione olistica dell’intera organizzazione.

Ma quanto di questo spirito innovativo è stato colto e recepito dalle PMI italiane?

Abituate alla struttura uniformata della precedente gestione privacy e poco informate sulle reali novità apportate dal Regolamento europeo, molte aziende hanno vissuto l’applicazione del GDPR come l’ennesimo gravoso adempimento formale (valutazione dei rischi, registro dei trattamenti, DPIA, nomina del DPO e nomina dei responsabili esterni al trattamento dei dati, per citare solo alcuni degli adempimenti necessari).

A peggiorare la situazione ha contribuito lo spauracchio delle sanzioni; è stata fatta leva con troppa veemenza sul sistema sanzionatorio e sugli importi massimi di tali sanzioni (art.83 GDPR, art. 166 Nuovo Codice Privacy – D.lgs. 101/2018), senza mettere abbastanza in risalto che la sanzione in ogni caso deve essere sempre proporzionata alla gravità del danno cagionato.

Infine, non si è posta attenzione sulla necessità di coinvolgere il titolare del trattamento in tutte le attività che portano a una crescita aziendale.

Oggi infatti vediamo Data Protection Officer (DPO) con oltre 50 incarichi in altrettante aziende medio grandi. Sebbene ciò non sia vietato, quali sono le probabilità che il DPO rappresenti in ogni organizzazione il grimaldello per creare dinamicità all’interno dei processi aziendali?

È in questo contesto sfavorevole che si è fatta strada tra i titolari del trattamento l’idea che il GDPR sia un ulteriore costo inutile a carico delle aziende.

Da qui sono scaturiti degli atteggiamenti superficiali: a un anno dall’entrata in vigore del Regolamento capita infatti ancora di trovare registri dei trattamenti frutto di copia e incolla da modelli precostituiti, evidente dimostrazione che non è stata fatta una corretta analisi dei processi aziendali, non è stata svolta una corretta analisi degli scenari operativi e non è stata realizzata alcuna valutazione dei rischi.

Se poi sono presenti sistemi di videosorveglianza, trattamento dei dati sanitari, sistemi cloud, sistemi di networking distribuiti (per citarne solo alcuni) il quadro non può che essere catastrofico.

Quello che serve alle PMI è creare una “cultura della consapevolezza” delle potenzialità del GDPR: il Regolamento europeo della privacy, se pur giovane e inserito in contesti talmente in movimento che il legislatore stesso fatica a stare al passo, è ben strutturato e ricco di spunti per la crescita sia degli operatori del settore che delle organizzazioni.

Affinché siano colti realmente i benefici della nuova normativa è necessario però utilizzare il GDPR in modo dinamico, come strumento di lavoro per ripensare, razionalizzare e innovare processi e procedure.

Vantaggi dalla corretta applicazione del GDPR

Quali sono, dunque, i reali vantaggi che il GDPR può portare a una PMI?

Se ben applicato, il Regolamento è un’opportunità di crescita sia tecnologica che di business per le aziende stesse. Un costo trasformato in investimento. Vediamo dunque insieme i principali vantaggi.

Privacy by design: miglior processo decisionale, minori costi di gestione, minimizzazione dei dati

Il concetto di privacy by design esiste da anni in ambito informatico, ma solo con il nuovo Regolamento europeo è di fatto diventato un requisito legale.

Il principio di privacy by design prevede che l’azienda debba includere la protezione dei dati personali fin dall’inizio della progettazione di sistemi e processi, piuttosto che interpretare la privacy come mera aggiunta formale di moduli di raccolta consenso a processo già definito.

Il concetto di privacy by design, inoltre, sta a significare che ogni attività deve sempre essere pensata e realizzata tenendo a mente la tutela dei cittadini e delle loro libertà.

Cogliere la spinta del principio di privacy by design significa quindi adottare una politica virtuosa di analisi e ottimizzazione dei processi aziendali, con notevoli benefici sia a livello organizzativo che di credibilità aziendale.

Una corretta applicazione del GDPR, inoltre, comporta che i dati trattati e conservati in azienda siano consolidati e accurati. I dati ridondanti, obsoleti e non più necessari devono essere eliminati, con un notevole sgravio di costi e procedure inutili.

La scelta consapevole di una politica chiara di quando e come i dati sono effettivamente utilizzati ed utilizzabili, aiuta a identificare le aree in cui le esigenze dei clienti non sono soddisfatte, i trattamenti sono superati o non necessari.

Su quest’ultimo punto è fondamentale introdurre alcune domande che ogni azienda dovrebbe porsi:

  • siamo sicuri che il fornitore di servizi al quale stiamo affidando la gestione dei nostri dati non stia profilando i dati dei nostri clienti senza nemmeno dare cenno di ciò nel registro dei trattamenti?
  • cosa accade se l’azienda cancella il dato ma il fornitore dei servizi cloud lo storicizza ed effettua il backup a freddo senza darne notizia alcuna?

È evidente che i due comportamenti sopra citati sono scorretti, ma è fondamentale che le aziende attuino delle politiche di prevenzione, la posta in gioco è troppo alta.

Di sicuro la scelta di un fornitore affidabile di servizi IT ha un ruolo cardine, ma è solo utilizzando consapevolmente tutti gli strumenti che il GDPR prevede, (DPO, Privacy Officer, nomine responsabili esterni, registro dei trattamenti del fornitore e valutazione dei rischi), che le aziende potranno realmente proteggersi.

Privacy compliant: maggiore credibilità, consolidamento della posizione di mercato

Nell’era digitale le aziende che dimostrano di operare con un approccio privacy oriented, trattando i dati dei propri clienti in modo legittimo e con equità, hanno un sensibile ritorno in termini di customer trust e loyalty, con impatti positivi sul consolidamento della propria posizione di mercato.

Questo aspetto è ancora più centrale e decisivo nelle dinamiche dell’economia globale. Sebbene infatti il GDPR riguardi solo i cittadini che vivono nell’Unione europea, ogni azienda che opera a livello internazionale può dimostrare il proprio impegno garantendo l’applicazione delle tutele previste dal GDPR al proprio pubblico globale.

Questo approccio fornisce ai clienti la tranquillità di potersi fidare dell’azienda, potendo scegliere e quindi cambiare, rettificare e revocare il proprio consenso.

Di contro, le organizzazioni che non applicano i principi di liceità e trasparenza, che anche il GDPR impone, rischiano oggi di perdere da un giorno all’altro posizioni di mercato e soprattutto la fiducia dei clienti. Sono numerosi i casi come British Airways o Facebook Cambridge Analityca che hanno avuto impatti pesanti sul business aziendale.

Investire in soluzioni tecnologiche adeguate con riduzione dei costi IT

Il risultato della revisione effettuata in fase di analisi dei processi e dei trattamenti, la privacy by design e la politica di trasparenza adottata, porteranno l’azienda a identificare strumenti tecnologicamente adeguati alle nuove esigenze di gestione dei dati.

In questo senso scegliere soluzioni gestionali e software SaaS in cloud, certificate e privacy compliant, corredate di un registro dei trattamenti, rappresenta un investimento e non un costo; soprattutto se tali richieste oggi il titolare del trattamento le può fare in ottemperanza a una normativa alla quale nemmeno il fornitore di servizi può sottrarsi.

Nella scelta del prodotto più adatto alla gestione di dati e processi aziendali e di storage e backup l’azienda dovrà valutare in primis:

  1. dove risiedono i dati (in UE o all’estero?);
  2. il livello di sicurezza degli accessi;
  3. i livelli di cifratura offerti sui dati in transito (siti web con protocolli cifrati robusti);
  4. i livelli di cifratura degli Storage Primari (è cifrato il database o tutto lo Storage);
  5. i livelli di cifratura degli storage di backup;
  6. il periodo di conservazione dei dati del provider di servizi;
  7. le attività svolte dal provider di servizi (effettua attività in concorrenza diretta o indiretta col mio target business?);
  8. il livello di manutenzione e di intervento in caso di disastro;
  9. il tipo di protezione fisica del contenitore dei dati.

Conclusioni

Alla luce del contesto normativo attuale, è impensabile che un’organizzazione lungimirante non faccia ogni sforzo necessario per rivedere i propri processi alla luce del regolamento.

La dimostrazione di una solida gestione dei processi privacy è inoltre un passaggio importante sia per i clienti, per i dipendenti e per i fornitori di servizi e costituisce una vantaggiosa opportunità di business e di fare impresa per tutti i soggetti di volta in volta coinvolti.

Se l’applicazione del GDPR è stata inefficace o sottovalutata, è imperativo che l’impresa, nella veste del suo titolare del trattamento, agisca con urgenza non solo per diventare conforme, ma anche per cogliere appieno tutte le opportunità di crescita che tale processo comporta.

Infine, è fondamentale utilizzare lo strumento normativo del Regolamento europeo della privacy da un lato per aumentare il rapporto fiduciale tra l’azienda e i fornitori di servizi IT già contrattualizzati, dall’altro per instaurare i nuovi rapporti con fornitori di servizi IT che siano al passo con l’evoluzione tecnologica, già in fase di stesura contrattuale.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr