GUIDA ALLA NORMATIVA

Il GDPR nei processi decisionali e organizzativi delle imprese: vantaggi e scenari operativi

L’impatto del GDPR nei processi decisionali e organizzativi delle imprese può essere trasformato in un’occasione di crescita. Ecco i vantaggi della corretta applicazione del Regolamento europeo e come trasformare la compliance normativa in un utile strumento di riorganizzazione dell’azienda stessa

27 Set 2019
A
Giuseppe Artioli

Consulente della Privacy - Privacy Officer TUV SUD Schema CDP n.reg.331


Dall’analisi dei principi fondamentali del Regolamento generale sulla protezione dei dati personali (GDPR) risulta evidente l’impatto che la normativa europea ha, oltre che sulla gestione del trattamento dei dati e della privacy degli utenti, sui processi decisionali e organizzativi delle imprese, offrendo degli spunti significativi per rilanciare l’organizzazione dell’azienda.

D’altronde, il GDPR può essere considerato a ragion veduta una delle novità imprescindibili per far fronte alle sfide della rivoluzione digitale, che pone al centro delle nostre vite e delle organizzazioni una mole enorme di dati e informazioni, con annessi rischi di violazione della privacy.

Ma le aziende stanno davvero sfruttando le opportunità offerte dal GDPR? Come possono le organizzazioni superare il concetto di adempimento normativo (GDPR=costo) trasformandolo in un’occasione di crescita?

Lo scenario operativo del titolare del trattamento

Fin dalla prima lettura del Regolamento emerge chiaramente la volontà del legislatore di dare una spinta decisiva al cambiamento nella gestione dei dati aziendali e, in particolare, al processo con cui i dati stessi sono gestiti.

È in questa direzione che va letta la figura del titolare del trattamento (art. 4 punto 7 e art. 24 del GDPR), che può e deve avere completa visibilità su tutti i processi aziendali.

Il titolare del trattamento è quindi in una posizione decisionale molto forte, è una figura che può “mettere ordine” nelle organizzazioni, razionalizzando e riorganizzando tutte quelle procedure che troppo spesso, nella rincorsa alla competitività e nell’era della digitalizzazione, sono state implementate in modo disordinato, senza una vera visione olistica dell’intera organizzazione.

Ma quanto di questo spirito innovativo è stato colto e recepito dalle PMI italiane?

Abituate alla struttura uniformata della precedente gestione privacy e poco informate sulle reali novità apportate dal Regolamento europeo, molte aziende hanno vissuto l’applicazione del GDPR come l’ennesimo gravoso adempimento formale (valutazione dei rischi, registro dei trattamenti, DPIA, nomina del DPO e nomina dei responsabili esterni al trattamento dei dati, per citare solo alcuni degli adempimenti necessari).

A peggiorare la situazione ha contribuito lo spauracchio delle sanzioni; è stata fatta leva con troppa veemenza sul sistema sanzionatorio e sugli importi massimi di tali sanzioni (art.83 GDPR, art. 166 Nuovo Codice Privacy – D.lgs. 101/2018), senza mettere abbastanza in risalto che la sanzione in ogni caso deve essere sempre proporzionata alla gravità del danno cagionato.

Infine, non si è posta attenzione sulla necessità di coinvolgere il titolare del trattamento in tutte le attività che portano a una crescita aziendale.

Oggi infatti vediamo Data Protection Officer (DPO) con oltre 50 incarichi in altrettante aziende medio grandi. Sebbene ciò non sia vietato, quali sono le probabilità che il DPO rappresenti in ogni organizzazione il grimaldello per creare dinamicità all’interno dei processi aziendali?

È in questo contesto sfavorevole che si è fatta strada tra i titolari del trattamento l’idea che il GDPR sia un ulteriore costo inutile a carico delle aziende.

Da qui sono scaturiti degli atteggiamenti superficiali: a un anno dall’entrata in vigore del Regolamento capita infatti ancora di trovare registri dei trattamenti frutto di copia e incolla da modelli precostituiti, evidente dimostrazione che non è stata fatta una corretta analisi dei processi aziendali, non è stata svolta una corretta analisi degli scenari operativi e non è stata realizzata alcuna valutazione dei rischi.

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

Se poi sono presenti sistemi di videosorveglianza, trattamento dei dati sanitari, sistemi cloud, sistemi di networking distribuiti (per citarne solo alcuni) il quadro non può che essere catastrofico.

Quello che serve alle PMI è creare una “cultura della consapevolezza” delle potenzialità del GDPR: il Regolamento europeo della privacy, se pur giovane e inserito in contesti talmente in movimento che il legislatore stesso fatica a stare al passo, è ben strutturato e ricco di spunti per la crescita sia degli operatori del settore che delle organizzazioni.

Affinché siano colti realmente i benefici della nuova normativa è necessario però utilizzare il GDPR in modo dinamico, come strumento di lavoro per ripensare, razionalizzare e innovare processi e procedure.

Vantaggi dalla corretta applicazione del GDPR

Quali sono, dunque, i reali vantaggi che il GDPR può portare a una PMI?

Se ben applicato, il Regolamento è un’opportunità di crescita sia tecnologica che di business per le aziende stesse. Un costo trasformato in investimento. Vediamo dunque insieme i principali vantaggi.

Privacy by design: miglior processo decisionale, minori costi di gestione, minimizzazione dei dati

Il concetto di privacy by design esiste da anni in ambito informatico, ma solo con il nuovo Regolamento europeo è di fatto diventato un requisito legale.

Il principio di privacy by design prevede che l’azienda debba includere la protezione dei dati personali fin dall’inizio della progettazione di sistemi e processi, piuttosto che interpretare la privacy come mera aggiunta formale di moduli di raccolta consenso a processo già definito.

Il concetto di privacy by design, inoltre, sta a significare che ogni attività deve sempre essere pensata e realizzata tenendo a mente la tutela dei cittadini e delle loro libertà.

Cogliere la spinta del principio di privacy by design significa quindi adottare una politica virtuosa di analisi e ottimizzazione dei processi aziendali, con notevoli benefici sia a livello organizzativo che di credibilità aziendale.

Una corretta applicazione del GDPR, inoltre, comporta che i dati trattati e conservati in azienda siano consolidati e accurati. I dati ridondanti, obsoleti e non più necessari devono essere eliminati, con un notevole sgravio di costi e procedure inutili.

La scelta consapevole di una politica chiara di quando e come i dati sono effettivamente utilizzati ed utilizzabili, aiuta a identificare le aree in cui le esigenze dei clienti non sono soddisfatte, i trattamenti sono superati o non necessari.

Su quest’ultimo punto è fondamentale introdurre alcune domande che ogni azienda dovrebbe porsi:

  • siamo sicuri che il fornitore di servizi al quale stiamo affidando la gestione dei nostri dati non stia profilando i dati dei nostri clienti senza nemmeno dare cenno di ciò nel registro dei trattamenti?
  • cosa accade se l’azienda cancella il dato ma il fornitore dei servizi cloud lo storicizza ed effettua il backup a freddo senza darne notizia alcuna?

È evidente che i due comportamenti sopra citati sono scorretti, ma è fondamentale che le aziende attuino delle politiche di prevenzione, la posta in gioco è troppo alta.

Di sicuro la scelta di un fornitore affidabile di servizi IT ha un ruolo cardine, ma è solo utilizzando consapevolmente tutti gli strumenti che il GDPR prevede, (DPO, Privacy Officer, nomine responsabili esterni, registro dei trattamenti del fornitore e valutazione dei rischi), che le aziende potranno realmente proteggersi.

Privacy compliant: maggiore credibilità, consolidamento della posizione di mercato

Nell’era digitale le aziende che dimostrano di operare con un approccio privacy oriented, trattando i dati dei propri clienti in modo legittimo e con equità, hanno un sensibile ritorno in termini di customer trust e loyalty, con impatti positivi sul consolidamento della propria posizione di mercato.

Questo aspetto è ancora più centrale e decisivo nelle dinamiche dell’economia globale. Sebbene infatti il GDPR riguardi solo i cittadini che vivono nell’Unione europea, ogni azienda che opera a livello internazionale può dimostrare il proprio impegno garantendo l’applicazione delle tutele previste dal GDPR al proprio pubblico globale.

Questo approccio fornisce ai clienti la tranquillità di potersi fidare dell’azienda, potendo scegliere e quindi cambiare, rettificare e revocare il proprio consenso.

Di contro, le organizzazioni che non applicano i principi di liceità e trasparenza, che anche il GDPR impone, rischiano oggi di perdere da un giorno all’altro posizioni di mercato e soprattutto la fiducia dei clienti. Sono numerosi i casi come British Airways o Facebook Cambridge Analityca che hanno avuto impatti pesanti sul business aziendale.

Investire in soluzioni tecnologiche adeguate con riduzione dei costi IT

Il risultato della revisione effettuata in fase di analisi dei processi e dei trattamenti, la privacy by design e la politica di trasparenza adottata, porteranno l’azienda a identificare strumenti tecnologicamente adeguati alle nuove esigenze di gestione dei dati.

In questo senso scegliere soluzioni gestionali e software SaaS in cloud, certificate e privacy compliant, corredate di un registro dei trattamenti, rappresenta un investimento e non un costo; soprattutto se tali richieste oggi il titolare del trattamento le può fare in ottemperanza a una normativa alla quale nemmeno il fornitore di servizi può sottrarsi.

Nella scelta del prodotto più adatto alla gestione di dati e processi aziendali e di storage e backup l’azienda dovrà valutare in primis:

  1. dove risiedono i dati (in UE o all’estero?);
  2. il livello di sicurezza degli accessi;
  3. i livelli di cifratura offerti sui dati in transito (siti web con protocolli cifrati robusti);
  4. i livelli di cifratura degli Storage Primari (è cifrato il database o tutto lo Storage);
  5. i livelli di cifratura degli storage di backup;
  6. il periodo di conservazione dei dati del provider di servizi;
  7. le attività svolte dal provider di servizi (effettua attività in concorrenza diretta o indiretta col mio target business?);
  8. il livello di manutenzione e di intervento in caso di disastro;
  9. il tipo di protezione fisica del contenitore dei dati.

Conclusioni

Alla luce del contesto normativo attuale, è impensabile che un’organizzazione lungimirante non faccia ogni sforzo necessario per rivedere i propri processi alla luce del regolamento.

La dimostrazione di una solida gestione dei processi privacy è inoltre un passaggio importante sia per i clienti, per i dipendenti e per i fornitori di servizi e costituisce una vantaggiosa opportunità di business e di fare impresa per tutti i soggetti di volta in volta coinvolti.

Se l’applicazione del GDPR è stata inefficace o sottovalutata, è imperativo che l’impresa, nella veste del suo titolare del trattamento, agisca con urgenza non solo per diventare conforme, ma anche per cogliere appieno tutte le opportunità di crescita che tale processo comporta.

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

Infine, è fondamentale utilizzare lo strumento normativo del Regolamento europeo della privacy da un lato per aumentare il rapporto fiduciale tra l’azienda e i fornitori di servizi IT già contrattualizzati, dall’altro per instaurare i nuovi rapporti con fornitori di servizi IT che siano al passo con l’evoluzione tecnologica, già in fase di stesura contrattuale.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4