La privacy policy aziendale è uno strumento indispensabile, ma forse non troppo considerato, nel processo di adeguamento della propria organizzazione alla normativa vigente in materia di protezione dei dati.
Generalmente, invece, nel percorso verso la compliance al GDPR, sia in fase iniziale che in una di revisione si è spesso concentrati su alcuni adempimenti:
- informativa ai clienti;
- modulo di consenso;
- videosorveglianza e adempimenti correlati;
- regolamentazione dei cookie.
Sono quelli più citati ma, all’atto pratico, non gli unici ad essere indispensabili.
Indice degli argomenti
Formazione e informazione in tema privacy
Il problema fondamentale in azienda è: tutti devono sapere come comportarsi con i dati e oggetti che li gestiscono (dispositivi, software).
Si pone dunque un problema di formazione del personale a cui si aggiunge un nuovo (non più tanto) elemento: come gestisco i social e i dispositivi personali dei collaboratori?
Nell’episodio 10 del mio podcast Privacy4PMI racconto il caso di una addetta vendita che comunicava prezzi e disponibilità dei prodotti della realtà in cui lavorava ai clienti che glielo chiedevano.
Tale azione aveva portato le seguenti conseguenze:
- il suo cellulare si è riempito di numeri di telefono e nomi di clienti;
- il suo numero di telefono è sulla rubrica di diversi abituali del negozio;
- il suo backup (fatto magari su cellulare Android e quindi su Google) è ormai oltre confine UE.
Il tutto all’insaputa del titolare del negozio ovvero del titolare del trattamento dei dati dei clienti.
Conseguenze per il titolare? Da valutare molto attentamente, ma sicuramente una situazione molto critica dal punto di vista GDPR:
- dati dei suoi clienti trattati in modalità che lui non ha stabilito né ne ha contezza né controllo;
- assenza di un qualsiasi consenso;
- nessuna informativa fornita che chiarisse almeno:
- dove, come, per quanto tempo vengono trattati e conservati i dati;
- se c’è trasferimento extra UE (come potrebbe accadere se il backup finisse sui server di Google);
- diritti delle persone a cui si riferiscono.
Privacy policy aziendale: ecco come crearla
Come evitare situazioni del genere? Occorre innanzitutto censire tutti i dispositivi che trattano i dati (personali o aziendali) e poi è importante creare la policy aziendale di cui parlavamo che indichi chiaramente cosa si può e cosa non si può fare con i dati dei clienti.
Come creare questa regolamentazione dipende ovviamente dalla tipologia di azienda e dal numero di dipendenti:
- per realtà più grandi si pensa alla prevalenza di dispositivi aziendali che sono da gestire in modo diverso da quelli personali e che, magari, sono con controllo centralizzato per cui ho un controllo “facilitato”. Dunque, qui il censimento dovrebbe essere facilitato dall’appartenenza all’azienda dei dispositivi in dotazione al personale;
- per realtà più piccole si può partire da modelli da adattare al contesto operativo in cui ci si trova.
Elementi comuni dei due casi sono:
- aggiornamento periodico della policy (come le aziende imparano anche le policy si arricchiscono di tutti quei casi che, in fase di prima stesura, non erano stati considerati)
- necessità di diffusione e conoscenza da parte di tutti coloro che operano in azienda. Senza tale elemento il rischio di incorrere in comportamenti inadeguati si alza anche sensibilmente.
Una modalità efficace è quella di partire da best practice per creare la regolamentazione e poi, durante le sessioni di formazione obbligatoria sul GDPR, spiegarla nel dettaglio raccogliendo, eventualmente, indicazioni su casi non previsti.
In questo modo si rende ancora più efficace il momento formativo e lo si sfrutta per eventuali aggiornamenti richiesti dal contesto.