Ciò che a molti è sfuggito, da quando il GDPR è diventato pienamente operativo, è l’utilità che una compliance business oriented può portare alle aziende, grandi o piccole che siano.
A quasi due anni dall’entrata in vigore del Regolamento UE 2016/679 i report di analisi sulla conformità delle aziende italiane rivelano una scarsa aderenza al dettato normativo e un considerevole ritardo nella messa in atto degli adeguamenti previsti dalla legge.
Oltre alla criticità della situazione di conformità nel settore pubblico, che ha ancora molto lavoro da fare e numerose zone grigie su cui intervenire, il dato che maggiormente salta all’occhio è quello relativo alle PMI e alle startup italiane, dove la strada per la piena affermazione della disciplina in materia di protezione dati appare ancora lunga e difficoltosa.
Negli ultimi tempi si è molto sentito parlare di “Data Protection”, “GDPR”, “Cyber security” e “Privacy”. Certamente, infatti, uno dei principali meriti dell’entrata in vigore del GDRP è stato proprio quello di aumentare considerevolmente la sensibilità di professionisti, imprenditori, consulenti e cittadini sulla circolazione dei dati personali. D’altra parte, uno degli obiettivi del Regolamento europeo era proprio quello di aumentare la consapevolezza dei cittadini sui propri diritti in materia, così da consentire e garantire una maggiore autodeterminazione della circolazione dei loro dati personali.
Tuttavia, in Italia il principale “campanello” dell’allarme privacy è scattato per la paura delle sanzioni previste, incrementata da un clima “terroristico” che ha condotto i meno esperti a ricorrere a soluzioni “tappabuchi” e frettolose, non sempre calzanti con loro realtà concreta e, in generale, per nulla ispirate al principio di accountability.
Spesso, infatti, tra la corsa alla nomina dei DPO e la difficile scelta tra software e consulenze “chiavi in mano”, i titolari del trattamento dei dati italiani hanno adottato un approccio passivo e burocratico, fondato su adempimenti cartacei e standardizzati da riporre in un cassetto e dimenticare.
È evidente che un simile atteggiamento, oltre a non garantire la conformità normativa, ha di fatto trasformato le opportunità di business portate dal GDPR in un mero e difficoltoso adempimento burocratico. La maggior parte degli imprenditori italiani percepisce la data protection compliance come un costo inutile che mira ad ostacolare il business aziendale.
Nulla di più sbagliato.
Indice degli argomenti
Sistema di gestione integrato per gli adempimenti normativi
Spesso la principale difficoltà riscontrata dagli imprenditori, specialmente nelle piccole e medie imprese, risiede nella quantità di adempimenti normativi posti dalle singole norme di settore e nella difficoltà a gestire e mantenere gli adeguamenti effettuati.
Le contaminazioni tra la normativa sulla protezione dei dati e altri importanti adempimenti normativi che le aziende devono adottare in diversi settori sono molteplici. Nell’ottica di predisporre un Sistema di Gestione Integrato, infatti, il GDPR non può certamente essere lasciato da parte.
Diversi, infatti, sono i punti di contatto tra la normativa prevista dal D.lgs. 231/2001 e il Reg. UE 2016/679, a tal punto che sempre di più si sta affermando l’importanza e l’utilità del Modello di Gestione Privacy, un modello dinamico utile a garantire la dimostrabilità della raggiunta conformità privacy (nel rispetto del principio di accountability) e a mantenerla nel tempo (in ossequio ai principi di privacy by design e privacy by default).
Analogamente, un simile strumento viene implementato già da tempo in molti altri settori aziendali; si pensi al Modello di Gestione Sicurezza (d.lgs. 81/2008) o al Modello Organizzativo di Gestione (d.lgs. 231/2001). È, quindi, fondamentale anche in ambito GDPR adottare un “Sistema” dinamico che si integri con gli altri sistemi esistenti, così da garantire una più efficiente applicabilità delle procedure in esso previste.
Il principale corollario applicativo dei Sistemi di Gestione sono, infatti, le procedure e policy interne che ne derivano, che devono essere illustrate e comunicate a tutti i dipendenti. Le procedure sono, infatti, gli strumenti che evitano o comunque riduco concretamente il rischio di errore umano aumentando l’efficienza aziendale sia in ambito produttivo che in ambito di conformità normativa.
Posto che le procedure e le policy privacy, ove presenti, sono considerate elementi indicativi del rispetto del principio di accountability, perché le stesse siano realmente impiegate è indispensabile che si coordinino da un lato con le necessità operative dell’azienda, dall’altro con eventuali procedure aziendali già esistenti e predisposte per altri settori normativi.
Si pensi a una procedura aziendale stilata per la gestione di nuove assunzioni, che prevede l’espletamento delle attività di formazione previste in materia di sicurezza sul lavoro prima dell’inserimento del dipendente, alla quale contestualmente si va ad aggiungere anche la formazione in materia di protezione dati, gestione e utilizzo degli strumenti informatici e comunicazioni di eventuali data breach.
In tal caso, l’azienda disporrà di un’unica procedura integrata che le consentirà di adempiere in modo efficiente e simultaneao a due diverse disposizioni di legge. In questo modo, il mantenimento della conformità risulterà più semplice, più vantaggioso economicamente grazie alla riduzione dei tempi e alla unificazione delle risorse impiegate e facilmente monitorabile.
La predisposizione di un Sistema di Gestione Integrato può, quindi, risolvere quei problemi applicativi che derivano dalla sovrapposizione di più adempimenti in settori diversi.
Compliance al GDPR e non solo
La protezione dei dati non è e non deve essere vista dagli imprenditori come un processo a sé stante in quanto, di fatto, permea tutti i processi aziendali, alcuni in modo evidente – come quelli che riguardano il personale, come evidenziato nell’esempio precedente – altri in modo meno palese – come ad esempio la gestione dei rifiuti elettronici che oltre a essere disciplinata dalla normativa in materia di ambiente, costituisce parte fondamentale dei processi di sicurezza previsti in materia di protezione dati.
Una particolare attenzione deve essere posta alle contaminazioni esistenti tra il d.lgs. 231/2001, il GDPR e la protezione dei segreti industriali e la tutela della proprietà intellettuale in generale.
È indubbio che la tutela della proprietà intellettuale costituisca, per tutte le aziende, ma in particolar modo per le start-up innovative e le PMI che operano nel settore del nuove tecnologie, un asset aziendale strategico e fondamentale.
Anche se ad un occhio inesperto le tre regolamentazioni possono apparire indipendenti tra loro, ad un esame più approfondito è facile comprenderne l’intrinseca connessione e dipendenza.
Nonostante, infatti, i reati previsti in materia di protezione dati non rientrino tra i reati presupposto del d.lgs. 231/2001, ci sono molteplici temi di interesse comune – si pensi al tema della trasparenza, dello spionaggio o dei reati informatici – che, altresì, risultano strettamente correlati alla protezione della proprietà intellettuale e dei segreti aziendali.
Un quadro chiaro di questa connessione lo si può ricavare analizzando la tematica concernente la prevenzione del furto di segreti aziendali per fuga di notizie dall’interno (c.d. caso del dipendente infedele).
Apparentemente il problema sembrerebbe riguardare esclusivamente il diritto industriale e le tutele ad esso connesse, ma è evidente che per ottenere un sistema efficiente le procedure predisposte per evitare o contemperare tale rischio devono necessariamente integrarsi con quelle previste dal GDPR e dal d.lgs. 231/2001.
Di più facile evidenza è certamente la correlazione esistente con il d.lgs. 231/2001, testimoniata dalla presenza tra i reati presupposto proprio di una simile fattispecie di reato, che potrà quindi essere concretamente prevenuta mediante la predisposizione di specifici sistemi di controllo – anche sanzionatori – e di un efficiente sistema di segnalazioni all’Organismo di Vigilanza.
Ma di non meno conto è la necessaria integrazione della tutela della proprietà intellettuale con il GDPR. In tal senso, infatti, è indispensabile che l’informativa per i dipendenti preveda al suo interno la specifica possibilità per il Titolare di accedere ai dati dei dipendenti per lo svolgimento di ispezioni e indagini volte a verificare le azioni effettuate sui documenti secretati.
Allo stesso modo l’adozione di procedure atte a garantire la sicurezza informatica e la predisposizione di sistemi di autorizzazione e monitoraggio dei log – attività queste apparentemente inerenti alla protezione dei dati e cyber security – costituiscono lo strumento indispensabile per prevenire o ridurre il rischio di sottrazione di informazioni aziendali coperte da segreto.
A ciò si aggiunga che proprio con riferimento alle segnalazioni fatte all’OdV (c.d. whistleblowing) è necessario prevedere un’integrazione delle stesse con i principi e gli obblighi imposti in materia di protezione dati, specificando l’esistenza di tale finalità nelle informative per i dipendenti, l’eventuale coinvolgimento di terzi e le misure di sicurezza tecniche e organizzative adottate in tale processo di trattamento.
Conclusioni
È chiaro quindi come all’interno di un’organizzazione possano esistere procedure che contemporaneamente toccano più Sistemi di Gestioni connessi tra loro e che, pertanto, dovranno essere redatte alla luce di una integrazione tra gli stessi.
Ecco che allora, in tale prospettiva, il GDPR e in generale gli adempimenti in tema di protezione dati non diventano più un difficoltoso adempimento burocratico a cui adeguarsi per evitare le sanzioni dell’Autorità Garante, ma si inseriscono in un più ampio e penetrante progetto di strutturazione aziendale a tutto tondo, dove ogni Sistema di Gestione è integrato e collegato con gli altri esistenti, nel rispetto della normativa vigente e del business aziendale.
