Come è vero che il GDPR ha segnato l’alba di una nuova era, altrettanto vero è che le aziende, fortemente spinte a intraprendere un percorso, più o meno strutturato, di adeguamento alla protezione dei dati, oggi investono bilanciando costi, tempo ed energie.
A distanza di un quinquennio emergono best practices & bad experiences or bad practices ruotando attorno al modello di gestione privacy nella misura in cui lo stesso viene implementato e/o mantenuto costantemente per un corretto e adeguato presidio della protezione dei dati. Vediamo in dettaglio.
Indice degli argomenti
Modello di gestione privacy: buone e cattive pratiche
Oggi molte aziende hanno maturato esperienze tanto positive quanto negative nell’implementazione di un adeguato modello di gestione privacy.
Da qui, sono derivate best practices e bad experiences entrambe utili ad affrontare la sfida che la (nuova) privacy quasi quotidianamente, specie in quelle realtà a forte impatto, impone.
Le migliori pratiche per la conformità al GDPR
Tra le best practices, spiccano consapevolezza e coinvolgimento di tutti dalla dirigenza in giù. Se dalla governance e dalla leadership proviene il primo input, dal management, grazie alla compartecipazione di tutti, arriva l’output che denota l’impegno profuso.
Ecco che avere un adeguato modello di gestione privacy è essenziale.
Segue, l’attività di verifica (audit) grazie alla quale è possibile identificare e monitorare quali, quanti e come i dati personali vengono raccolti, conservati ed elaborati all’interno di un’azienda.
Con tutta evidenza, l’audit aiuta a valutare il rischio pianificando misure di sicurezza adeguate al contesto.
Altro aspetto che costituisce senz’altro una best practice è dato dalla nomina di un responsabile della protezione dei dati – RPD/DPO, non solo quando essa è necessaria (art. 37), ma anche quando la stessa risulti opportuna o conveniente.
Il DPO, come noto, è un garante della conformità al GDPR. Tra i suoi compiti rientrano il monitoraggio costante e continuo di prassi/procedure/pratiche aziendali in materia di privacy.
Altra pratica considerata tra le migliori oltre che, in certi casi (art. 35), dovuta è la valutazione d’impatto sulla protezione dei dati. Grazie alla DPIA i rischi associati alle attività di trattamento dei dati vengono prima identificati e poi attenuati grazie all’implementazione di misure di mitigazione ad hoc.
Ma tali adempimenti non bastano a concludere il novero delle migliori pratiche; imprescindibili sono infatti le politiche e procedure interne da redigere, sviluppare, strutturare e consolidare affinché siano documenti tutti chiari ed esaustivi, finalizzati allo scopo.
La messa in atto di un buon apparato documentale se da un lato rafforza l’accountability, dall’altro aumenta la fiducia dei clienti/interessati che vedranno tutelati i loro diritti fondamentali.
Da ultimo, ma non ultimo, altro pilastro a fondamento di consolidate e introitate best practices è dato da una formazione attiva, concreta, efficace e dinamica grazie a sessioni mirate e simulate dei collaboratori/dipendenti tutti.
Le cattive esperienzedi alcune aziende
Le cattive esperienze non sono, tuttavia, mancate.
Principalmente tra queste annoveriamo la mancanza di consapevolezza e di comprensione dell’intero sistema/modello. Al riguardo, alcune aziende purtroppo tendono a sottovalutare l’importanza e la complessità del GDPR che, in quanto tale, spesso è risultata di difficile applicazione. Pensiamo alla privacy by design (art. 25), ad esempio. In pratica, stando a quest’ultimo esempio, fin dalla progettazione occorre(va) porre in essere tutta una serie di accortezze difficili da attuare stando alla lettera della norma.
Altra “cattiva esperienza” riguarda la gestione dei consensi. Spesso ottenere consensi validi per la raccolta e l’elaborazione dei dati personali è sfidante, specialmente per il settore marketing. Ma attenzione possono essere raccolte, perché in perfetto spirito con l’intento del legislatore europeo.
Ancora, tra le cattive esperienze non possiamo non citare la gestione delle violazioni della sicurezza dei dati – data breach. A tal proposito, le aziende dovrebbero essere sempre pronte e preparate a gestirli e, se del caso, a notificare le presunte/accertate violazioni (art. 33). In caso contrario, la mancata notifica di un data breach oltre a implicare l’irrogazione di una sanzione, comporta un discreto impatto sulla reputazione, poteziale danno ingente per non dire incalcolabile.
Privacy by design: come implementarla correttamente seguendo i requisiti della ISO 31700
Le cattive pratiche di adeguamento al GDPR
Snocciolate le best pratices e le bad experiences, vediamo ora le cattive pratiche che in questi anni, l’adeguamento al GDPR ha portato inesorabilmente con sé.
Le difficoltà (che si sono) potute incontrare in questi anni nell’implementazione di un adeguato modello di gestione privacy, emergono in forza di alcuni fattori, tra cui:
- la mancanza di coinvolgimento della dirigenza, se la leadership aziendale non dimostra un impegno chiaro, preciso, coerente per la privacy, senza fornire risorse necessarie, presto si intuisce che diventa difficile (per l’azienda) sviluppare un modello di gestione della privacy efficace;
- un approccio reattivo anziché proattivo tipico di quelle aziende che affrontano ancora la conformità al GDPR quale reazione a eventi specifici, come una violazione della sicurezza dei dati o una segnalazione da parte delle Autorità;
- una scarsa comprensione dell’impianto normativo tale da portare a un’errata interpretazione delle norme ovvero a errori nella gestione delle attività di trattamento dei dati personali coinvolti;
- la mancanza di una consulenza esperta proponendo soluzioni inadeguate o errate e insoddisfacenti;
- una dipendenza eccessiva dagli strumenti automatizzati, sempre più in voga specie di questo periodo, a discapito della comprensione più approfondita delle esigenze aziendali;
- un’inadeguata gestione dei fornitori, aspetto quanto mai critico. Le aziende, infatti, devono assicurarsi che anche i loro fornitori/partner commerciali rispettino il GDPR adottando tutte le misure adeguate in materia di protezione dati. In caso contrario non dovrebbero affidarvisi del tutto. A costo di perdere o cambiare fornitore. D’altronde una corretta filiera di fornitori dal punto di vista formale e sostanziale, altro non può che aumentare i rischi e quindi a (matematiche) violazioni in materia di privacy;
- una mancanza di monitoraggio e valutazione continua di politiche e misure di protezione dati. Al riguardo, se le aziende non implementano processi di monitoraggio e valutazione adeguati, potrebbero non rilevare le violazioni o non apportare le modifiche necessarie al fine di garantire la conformità continua.
Il GDPR e i costi di conformità
Adempimento al GDPR significa costi, talora ingenti considerando realtà medio grandi a significativo impatto privacy, per attestarci su di una media ragionevole.
I costi di conformità, in questo caso al GDPR, ma anche più in generale specie se l’azienda di riferimento ha un sistema di gestione complesso, strutturato e integrato, sono altro tema spinoso.
Si tratta di una valutazione che per essere verosimile deve essere contestualizzata, e più in generale occorre che sia fatta caso per caso.
Perciò si suggerisce caldamente di dedicare tempo, risorse umane e denaro affinché l’intero sistema sia sotto il controllo.
Impatto sulle operazioni aziendali
Il GDPR richiederà sempre alle aziende di apportare modifiche ai processi operativi, come la raccolta e l’elaborazione dei dati personali, l’ottenimento dei consensi, la gestione dei diritti degli interessati e la notifica delle violazioni.
Tali modifiche necessiteranno di tempo e sforzi significativi, influenzando le attività quotidiane e potenzialmente rallentando i processi aziendali.
Adozione di nuove politiche e procedure
Le aziende devono sviluppare e implementare politiche e procedure interne volte a regolamentare la gestione di dati personali ivi inclusa la documentazione dei processi, la gestione dei consensi nonché la risposta a eventuali richieste.
Ciò fa scaturire una revisione o modifica costante di politiche o altri documenti già esistenti, nonché l’introduzione di nuovi processi.
Adeguamento tecnologico
Per garantire la sicurezza dei dati personali, le aziende potrebbero dover implementare nuove soluzioni tecnologiche, come sistemi di gestione di dati, crittografia, monitoraggio della sicurezza e protezione contro le violazioni ecc.
Tali aggiornamenti richiedono evidentemente investimenti di un certo spessore economico con annessa formazione di personale capace di utilizzare in maniera corretta le nuove tecnologie a servizio dell’era che cambia.
Consulenze specifiche
Il GDPR poiché è un regolamento complesso che richiede un’interpretazione accurata e una comprensione delle disposizioni specifiche, i necessariamente il coinvolgimento di consulenti legali o esperti in protezione dei dati per poterle applicare correttamente.
Rischi della sanzione
Il GDPR prevede significative sanzioni amministrative in caso di violazione delle norme sulla protezione dei dati (art. 83 e ss).
La mancata conformità al GDPR, dunque, può portare a delle multe anche salate, e negli anni alcune sono state pure esemplari.
Qualche prospettiva futura
Per implementare con successo, dunque, cosa bisogna fare?
La risposa è semplice: fare, fare e fare continuando ad affrontare le sfide specifiche con un approccio proattivo, coinvolgendo i vertici aziendali, investendo nella formazione, affidandosi a consulenti esperti dall’approccio olistico.
Nonostante i costi e le sfide associate al costante adempimento al GDPR, la protezione dei dati personali e la conformità alle normative sulla privacy sono fondamentali per instaurare la fiducia dei clienti e proteggere la reputazione dell’azienda.
L’implementazione di un adeguato modello di gestione della privacy può portare benefici a breve, medio e lungo termine.
Investire nella privacy allora dovrebbe essere vissuto un valore aggiunto e non un peso o peggio un costo.
