La normativa privacy sta funzionando?  

A cinque anni dall’introduzione del GDPR, il Regolamento generale per la protezione dei dati personali 2016/679, come si stanno muovendo le aziende per applicare una normativa così invasiva, trasversale e in continua evoluzione?  

Dall’Osservatorio di Federprivacy è emerso che il 78% degli intervistati ritiene che le aziende curino il rispetto del GDPR come un mero adempimento burocratico, mentre solo il 18% bada sia alla burocrazia che alla sostanza e il residuo 4% mira invece alla sostanziale protezione dei dati. 

Da addetti ai lavori, facciamo qualche considerazione.  

Privacy e dati sensibili

“Privacy? Ma io non tratto ‘dati sensibili’”
Questa la risposta che noi consulenti spesso ci sentiamo dare appena pronunciata la parola “privacy”.  

E ricominciamo daccapo a spiegare che il GDPR si applica a tutte le organizzazioni che trattano dati personali e dato personale è qualsiasi informazione relativa a persona fisica identificata o identificabile. E, sì, anche un nome e cognome o un codice fiscale è un dato personale e non è necessario che il dato personale riguardi la salute di qualcuno. 

Tutto chiaro? 

Quindi: basta raccogliere il nominativo o il numero di telefono di un cliente o di un fornitore o di un collaboratore per essere soggetti in toto alla normativa privacy di riferimento. 

Chi fa i controlli sulla privacy?

“Sì, ma tanto chi ci controlla?”
Oltre al Nucleo Privacy della Guardia di Finanza, ogni azienda è esposta al rischio che chiunque (davvero chiunque!) faccia una segnalazione (reclamo) al Garante Privacy circa una presunta irregolarità relativa al trattamento dei propri dati.  

Il reclamo è a costo zero e può riguardare qualunque genere di violazione della disciplina in materia di protezione dei dati personali, dalla e-mail pubblicitaria ricevuta senza consenso all’informativa incompleta sul sito web, dal cartello mancante della videosorveglianza alla mailbox lavorativa non disattivata alla cessazione del rapporto di lavoro.  

E il Garante, sollecitato, si muove senza fare sconti a nessuno. 

GDPR e lavoro

“Sì, ma io devo anche lavorare!”
Vero. E applicare il GDPR aiuta proprio in questo: qualche scocciatura burocratica ma, soprattutto, tanta sostanza. 

Oltre all’abbattimento dei rischi di sanzioni elevatissime (fino a 20 milioni di euro), valori aggiunti di una corretta applicazione della normativa privacy sono:  

  • Trasparenza e fidelizzazione degli stakeholder 
  • Protezione degli asset informativi  
  • Garanzia di affidabilità dei fornitori 

In merito a quest’ultimo punto: se la tua organizzazione fornisce servizi che prevedono il trattamento di dati personali dei propri clienti (es. formazione del personale, consulenza informatica, sviluppo software, predisposizione payroll, etc.), devi essere pronto a rispondere alle checklist che i tuoi clienti sono obbligati a inviare per la verifica del rispetto della normativa privacy dei propri fornitori.

Costi GDPR: un investimento a lungo termine  

“Ma quanto mi costa?!”
Ribaltiamo la domanda: quanto costa alla tua organizzazione perdere un cliente perché non fornisce le adeguate garanzie in materia di trattamento dati personali? Oppure interrompere ogni attività di marketing perché non compliant con quanto richiesto dal GDPR?

O, ancora, vedersi comminare una pesante sanzione perché, semplicemente, l’informativa sul sito web è un’informativa copia e incolla sprovvista delle informazioni richieste dagli artt. 13 e 14 del GDPR? Per non parlare dei contenziosi tra datore e lavoratore a causa di grossolane violazioni in materia di trattamento di dati personali. 

Certamente predisporre un Modello Privacy non è gratis ma, considerate anche le nuove tecnologie a cui le aziende faranno sempre più ricorso, adeguarsi al GDPR diventa un vero e proprio investimento.  

I 5 punti da cui partire “in autonomia”  

Ogni organizzazione può iniziare l’esplorazione della propria privacy compliance partendo da queste semplici verifiche. 

  1. Chi è il titolare del trattamento? Ovvero, è stata correttamente individuata la persona fisica o giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo che determina le finalità e i mezzi del trattamento? La domanda da porsi è: chi decide?  
  1. Esiste un registro dei trattamenti? Redigere un registro che contenga le informazioni previste dall’art. 30 GDPR è obbligatorio. 
  1. Sono state implementate adeguate misure tecniche e organizzative protezione dei dati personali? Ad esempio: sono stati installati antivirus sui pc aziendali? Firewall? È stata predisposta e implementata la procedura di back up periodico su un server esterno o in un cloud? La procedura di gestione data breach è definita e applicata?  
  1. È stata fatta la formazione privacy al personale? Si tratta della misura organizzativa più importante: predisporre ed attuare il piano di formazione dei dipendenti 
  1. Sono stati formalmente designati responsabili del trattamento ex art. 28 GDPR i fornitori che trattano dati personali per conto della nostra organizzazione?  

Conclusioni 

La normativa privacy non è certamente di facile assimilazione ma oramai la strada è tracciata anche in termini di utilizzo di strumenti lavorativi sempre più “affamati” di dati personali.  

Pertanto: al netto del facile terrorismo delle sanzioni a presidio della normativa, fare un bel respiro e mettere a norma i processi aziendali significa anche, e soprattutto, rimanere al passo coi tempi e con le aspettative dei nostri stakeholder sempre più consapevoli del valore delle informazioni che li riguardano. 

E tu a che punto sei?

Fai il test gratuito

Taggato come: