Dall’entrata in vigore del GDPR si sta assistendo ad azioni che stanno irrigidendo, o meglio burocratizzando, la gestione di alcune aziende. Sorgono anche discussioni perché nelle attività di adeguamento al regolamento, privacy by design e by default vengono considerati i dati in generale, senza distinguere le attività dove c’è un trattamento di dati personali o un trattamento di dati aziendali.
Allo stesso tempo è l’occasione per mettere in sicurezza e proteggere i dati aziendali.
Indice degli argomenti
Persone fisiche e libera circolazione dei dati
Il GDPR (Regolamento UE 2016/679) nel suo titolo indica che fa riferimento a “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. E questa cosa viene ribadita subito al primo comma dell’art. 1 del Regolamento.
Inoltre, il considerando 14 del Regolamento specifica subito che “il presente regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto”.
All’art. 4 del Regolamento viene poi specificato che cosa si intende per «dato personale»: “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Leggendo già questi articoli e senza ulteriori interpretazioni si può osservare come già il Regolamento tolga dubbi su dove porre l’attenzione in ambito di adeguamento al GDPR.
In merito al trattamento dei dati personali nell’ambito aziendale occorre porre l’attenzione per le aziende individuali e professionisti dove ci può essere una promiscuità tra quello che sono i dati personali e quello che sono i dati aziendali: a parte il nome e cognome potrebbero essere trattati altri dati personali come il codice fiscale, l’ubicazione (dove ci può essere coincidenza tra la sede legale e l’abitazione), dati bancari che coincidono tra personale e aziendale (in questo caso è consigliabile prevedere due conti correnti diversi, per una miglior gestione e separazione delle attività), indirizzo mail.
Dati personali e aziendali: come distinguerli
Considerando il GDPR come una questione organizzativa, dove le modalità di trattamento dei dati personali, l’accountability dipendono dall’attività e dalla struttura organizzativa dell’azienda o ente, in qualità di titolare del trattamento è fondamentale capire subito quali sono i dati personali trattati e quali sono i dati aziendali trattati.
Fare subito questa distinzione permette di comprendere il livello di dettaglio, complessità delle procedure e controlli che si devono avere.
Non è la grandezza dell’azienda che fa la differenza ma la tipologia di attività e complessità:
- se ci troviamo di fronte a un’azienda che ha un mercato B2B (Business To Business) vende principalmente prodotti e/o servizi a clienti che sono a loro volta aziende, il sistema del GDPR avrà una struttura più snella rispetto a quelle realtà che vengono nel mercato B2C (Business To Consumer), cioè direttamente a clienti privati, quindi persone fisiche;
- se ci troviamo di fronte ad aziende che operano in mercati B2B ma, per obblighi di legge, trattano dati personali, l’attenzione aumenta: pensiamo da un lato ai professionisti, come consulenti del lavoro, medici del lavoro, dove i clienti sono le aziende ma trattano i dati personali, anche particolari, dei loro dipendenti (preciso subito che qui c’è una nomina a responsabile del trattamento al professionista verso l’azienda, titolare del trattamento); dall’altro ci possono essere alcuni settori, come gli appalti, e relativi subappalti, dove anche per obblighi contrattuali c’è un trattamento di dati personali che coinvolge aziende, uffici, al di fuori delle logiche del titolare e responsabili del trattamento.
Se nell’ambito del trattamento occorre fare un’attenta distinzione tra dati aziendali e dati personali, nell’ambito delle misure di sicurezza da adottare il discorso può cambiare: il GDPR sta avendo un effetto positivo sulle aziende perché sta finalmente iniziando a diffondersi quella consapevolezza che i dati aziendali sono il patrimonio intangibile, definito anche il “vero petrolio”: se adotto regole, procedure, azioni verso la protezione dei dati personali, lo sto facendo anche in ottica di protezione dei dati aziendali.
I consigli
Pensiamo alle PMI italiane, la maggior parte delle nostre realtà aziendali dove l’eccellenza è basata sulla conoscenza e proprietà intellettuale, che se venisse violata toglierebbe il principale valore distintivo e di successo nei confronti di competitor internazionali: quanti casi ci sono stati di prodotti copiati presenti nelle fiere di settore, dove non si comprende da quale fonte siano uscite le informazioni riservate dell’azienda. Ecco alcuni punti utili da seguire in tale ambito:
- effettuare un check up dell’infrastruttura informatica e rete aziendale per individuare eventuali criticità, adottando poi misure in base al peso della gravità;
- aggiornare i database dei contatti per avere una situazione quanto più “pulita” che eviti di avere problemi di comunicazione, invii di informazioni errate a persone non di competenza;
- rivedere le politiche di profilazione, accessi e permessi sia nella rete aziendale che nell’ambito dei diversi sistemi gestionali, evitando che persone non di competenza abbiamo accesso e/o modifichino dati riservati, provocandone un eventuale diffusione, sia inconsapevole che volontaria;
- riorganizzare la gestione documentale aziendale eliminando documenti obsoleti (utilizzando adeguati strumenti come i “distruggi documenti”), riorganizzando e/o digitalizzando (dove possibile) gli archivi partendo da quelli che hanno documenti e informazioni riservate, aumentando così la loro sicurezza;
- impostare procedure e politiche per la gestione dei documenti con i diversi livelli di riservatezza (pubblico, riservato, ad uso interno) riuscendo a ridurre così l’errore di condivisione con persone che non devono essere a conoscenza (per esempio nell’ambito delle mail inviando o mettendo in CCN persone sbagliate);
- prevedere o migliorare le misure di protezione dei dati in ottica di cyber security assumendo figure in ambito IT all’interno dell’azienda o sottoscrivendo contratti di assistenza in outsourcing con realtà che abbiano una struttura adeguata ad offrire tale servizio;
- fare un’analisi dei diversi sistemi gestionali aziendali, valutandone miglioramenti, revisioni e/o nuove implementazioni per rendere efficace la gestione dei dati aziendali lungo tutti i processi aziendali (riduzione ridondanza nel caricamento dei dati, perdita di informazioni per utilizzo di sistemi extra gestionali, come l’Excel, mancato aggiornamento dei dati).
Il successo per chi segue e supporta l’adeguamento delle aziende in ottica GDPR è misurato da quanto le aziende comprendano da sole (o con un piccolo supporto) che è importante trattare i dati personali secondo il Regolamento Europeo, da un lato ma dall’altro che la cosa più importante per un’azienda è adottare le misure per gestire al meglio e proteggere i dati aziendali, che sono il patrimonio dell’azienda stessa.
