“Quali sono i dati personali che trattate in azienda?”

“Non trattiamo dati personali se non i dati dei dipendenti e poco altro. E non abbiamo dati sensibili!”

Nell’approcciarsi ad una realtà aziendale come consulenti sulla protezione dei dati, indipendentemente dalla tipologia di business della stessa, il primo approccio è tendenzialmente questo.

Rispetto al trattamento di dati personali infatti (molto spesso genericamente definito “privacy”) le organizzazioni rischiano di chiudere la porta di fronte ad una tematica che non solo è un adempimento normativo, bensì un’attività che porta alla gestione di un patrimonio unico e fondamentale per le aziende.

Raccolta dati e privacy

Gran parte degli sforzi e delle attività di business sono concentrate sul miglioramento dei prodotti e dei servizi offerti, anche attraverso un’analisi di dati o di informazioni raccolte e analizzate, al fine di ottenere un legittimo vantaggio competitivo.

Ma come migliorare i processi aziendali se non partendo da raccolta, utilizzo, trattamento di tutte le informazioni disponibili in azienda, compresi spesso dati precisi relativi ai propri clienti, alle attività di marketing, survey interne ed esterne, che necessariamente comportano un trattamento di dati personali?

Il processo di raccolta e analisi delle informazioni in un’azienda è un passaggio essenziale per prendere decisioni consapevoli, individuare inefficienze e problemi e migliorare le prestazioni.

Le informazioni e i dati trattati sono fonte di conoscenza e quindi di valore perché rappresentano il fattore di distinzione e di successo di un’azienda.

È quello che accadrà sempre di più attraverso l’intelligenza artificiale, che grazie alla matematica e agli algoritmi permetterà a sempre più aziende di valorizzare il proprio patrimonio di dati.

Per fare ciò è imprescindibile un adeguato trattamento by design e by default, ad ogni livello e su ogni dimensione aziendale.


La sicurezza delle informazioni e dei dati personali

Così come il concetto di “dato personale” è insito al concetto di “informazioni aziendali”, allo stesso modo il concetto di “sicurezza delle informazioni” ha in sé anche quello di “sicurezza dei dati personali”. Insensato guardarli e gestirli separatamente.

Pertanto l’esigenza di proteggere i dati aziendali e la gestione del rischio aziendale, ad oggi, non può in alcun modo trascurare la gestione del rischio che impatta anche sui dati personali trattati e di conseguenza sugli interessati ai quali quei dati si riferiscono.

Inoltre, se l’entrata in vigore del Regolamento UE 2016/679 (di seguito “GDPR”) sembra fornire solo un approccio organizzativo nella gestione e nel trattamento dei dati personali, in realtà mostra anche che, nell’ambito delle misure di sicurezza da adottare, per gestire potenziali eventi negativi, la distanza dalle misure da implementare, secondo un piano di Risk management aziendale, è irrisoria.

In entrambi i casi si potranno adottare misure di sicurezza di tipo tecnico e organizzativo, sulla base della struttura organizzativa dell’azienda, della complessità e dell’attività svolta dalla stessa, delle informazioni e dei dati personali trattati, come anche sulla base dei costi e dei rischi individuati.

Sarà opportuno prendere in considerazione l’infrastruttura informatica di rete, per identificare eventuali criticità, come anche definire politiche di accesso (sia informatico che fisico), e altre che promuovano comportamenti consapevoli all’interno dell’azienda, e di gestione dei documenti in formato cartaceo.

Il concetto di “Sicurezza delle informazioni”, coinvolge sia il concetto di “sicurezza informatica” (relativa alle informazioni presenti su supporti di tipo informatico-digitale), sia il concetto di “sicurezza fisica” (tanto degli impianti quanto degli edifici), e fornisce anche risposte (e misure) in caso di cambiamenti di contesto o in caso di rischi correlati ai comportamenti delle persone che si trovano ad interagire, a qualsiasi titolo, con le informazioni aziendali.


Adeguamento privacy: una vera e propria policy aziendale

Questo fa capire come ciò che in maniera semplificata, e purtroppo talvolta banalizzata, si definisce col termine “adeguamento privacy” non sia una check list di adempimenti puramente burocratici, che una volta posti in essere possano vivere di vita propria, quanto piuttosto un insieme di valutazioni, di decisioni e di attività che coinvolgono l’intera azienda ad ogni livello.

L’attività di compliance consiste quindi in un’iniziale analisi dei processi aziendali al fine di identificare all’interno i flussi di dati trattati e mapparne i trattamenti, su cui poi si andranno a compiere le valutazioni dei rischi necessarie ad identificare, e poi implementare, le misure di sicurezza tecniche ed organizzative, necessarie ad attuare, e quindi raggiungere, un livello di sicurezza adeguato alla realtà aziendale e al contesto in cui si trova ad operare.

È un’attività che necessita di tempo e di collaborazione tra i diversi ruoli in campo.


Vuoi saperne di più sull’adeguamento privacy?

Scopri le soluzioni

Taggato come: