Quando si passa ad applicare le norme del GDPR alla realtà di tutti i giorni, per gli operatori commerciali che devono rispettare le disposizioni, inizia un percorso di analisi delle attività caratterizzato da valutazioni specifiche per rendere tutte le procedure aziendali che utilizzano dati delle persone fisiche compliance alla normativa di legge.
Purtroppo, a parere di chi scrive, ancora oggi il percorso di adeguamento viene spesso considerato dai titolari del trattamento come un mero obbligo normativo fine a se stesso. Vediamo invece perché il GDPR rappresenta un trampolino per migliorare le performance della propria impresa.
Indice degli argomenti
Il contesto
L’obbligatorietà del GDPR ha colto totalmente impreparati gli operatori italiani costringendoli ad una veloce e forzosa compliance le cui conseguenze sono riscontrabili ancora oggi a circa due anni dall’entrata in vigore della norma comunitaria e successivamente di quella nazionale dai cui al decreto legislativo del 10 agosto 2018, n. 101, pubblicato in Gazzetta Ufficiale il 4 settembre 2018. Il Regolamento Generale Europeo, denominato GDPR, è entrato in vigore il 24 maggio 2016.
Accade di frequente che molte aziende affidino l’adeguamento della propria organizzazione al GDPR a società di consulenza esterne ritenendosi avulse dalla normativa. Spesso molte realtà si dichiarano conformi alla normativa pubblicando semplicemente una informativa sul proprio sito o provvedendo a riempire le mail di clienti e fornitori di documentazione di cui non se ne conosce a fondo la vera utilità.
Quello che si evidenzia è che l’applicazione della normativa sulla protezione dei dati viene di consueto pensata come un ulteriore onere imposto dalle autorità, di scarsa importanza e quindi non meritevole di investimenti e dignità normativa di tutto rispetto.
GDPR e organizzazione aziendale
L’adeguamento al GDPR può essere visto come due facce di una medaglia; la prima riguarda tutti i diritti dell’interessato, la seconda la protezione dei dati dello stesso. Il percorso di adeguamento dovrà quindi seguire queste due impostazioni per considerarsi completo.
Per quanto riguarda i diritti degli interessati il lavoro principale da espletare si sostanzia nella preparazione della documentazione interna ed esterna per permettere a questo soggetto di esercitare tutte le facoltà a lui riservate dalla legge e per informarlo del fatto che possediamo dati che lo riguardano.
Quando si passa, invece, all’aspetto della protezione dati è necessario entrare nel vivo dei processi e delle procedure aziendali. Uno dei primi adempimenti, infatti, consiste nell’analizzare tutto il flusso compiuto dagli stessi in modo dinamico e continuo, dal loro input al loro output.
Inizia quindi una fase di studio e di analisi dell’intera azienda sintetizzabile di seguito:
- identificazione del processo/processi aziendali;
- definizione degli attori del processo/i aziendale (ad esempio fornitori, clienti);
- definizione degli input e degli output scambiati tra gli attori del processo aziendale;
- definizione delle attività e delle procedure che regolano lo svolgimento del processo aziendale;
- analisi della durata delle attività e delle procedure che regolano lo svolgimento del processo aziendale;
- definizione delle prestazioni attese da quel processo aziendale;
- definizione delle responsabilità del processo aziendale.
Appare evidente come partendo dall’analisi dei dati si ha l’opportunità di monitorare, quasi come fosse un check up, molti processi aziendali, avendo quindi la possibilità di evidenziare criticità, malfunzionamenti con possibilità di apportare modifiche al fine di aumentare e migliorare la produttività aziendale.
Per questo ed altri motivi, non sono d’accordo con molti imprenditori ed alcuni consulenti che vedono nella compliance al GDPR un ulteriore costo aziendale e una burocratizzazione delle attività.
L’utilizzo dei Big Data
La conoscenza dei flussi è anche utile per iniziare l’elaborazione dei dati e trasformarli in nuove informazioni generate in modo continuo e dinamico per consentire decisioni sempre più precise ed accurate. Il processo di avvicinamento ad un progetto di Big Data può avere così inizio.
Ormai sappiamo quanto sia importante disporre di dati sia interni che esterni per qualsiasi tipo di analisi. Molto importante per un’azienda, per esempio, è la possibilità di costruire una Customer Journey e cioè un percorso che il proprio cliente compie quando inizia una relazione con essa, nel tempo e nei diversi luoghi di contatto siano essi online che offline.
Appare fondamentale, inoltre, poter fare delle Predictive Analysis, ovvero delle elaborazioni di dati per rispondere a domande relative a cosa potrebbero acquistare nel futuro i nostri clienti, nonché utilizzare delle Prescriptive Analysis, applicazioni big data evolute che riescono a proporre a chi prende decisioni soluzioni operative e strategiche sulla base delle analisi svolte fino all’ Automated Analysis, capaci di implementare autonomamente l’azione proposta secondo il risultato delle analisi compiute.
Come potremmo disporre, archiviare ed utilizzare queste preziose informazioni se, nel caso di dati appartenenti a persone fisiche, il processo di raccolta, elaborazione e archiviazione non è rispondente alla normativa del GDPR? La possibilità di commettere atti illeciti, cioè trattamenti non conformi alla norma, è molto alta con probabilità di ricevere sanzioni molto pesanti sia di tipo monetario che penale.
Realizzare l’organigramma
Il GDPR prevede che tutti coloro che svolgono attività di trattamento di dati personali sotto l’autorità del titolare o del responsabile del trattamento vengano dagli stessi autorizzati e a tale scopo istruiti[1]. Sono molte le realtà visitate che risultano sprovviste di un documento dove sia possibile visionare gli assetti organizzativi e le attività svolte dal personale dipendente. Spesso molti imprenditori non sono neppure a conoscenza delle varie attività implementate dai propri collaboratori.
Con il GDPR dovendo stabilire chi può trattare dati da chi non è autorizzato, abbiamo la possibilità di consigliare tutte quelle realtà sprovviste di organigramma, strumento fondamentale per organizzare le risorse in azienda, di iniziare a farne uso in modo da riuscire a correggere inefficienze spesso lasciate irrisolte da tempo ed inoltre consentire al titolare del trattamento di avere notizia delle innumerevoli attività svolte giornalmente.
Information tecnology e GDPR
Viviamo in un mondo sempre più tecnologico in costante e continua evoluzione. Lo strumento informatico è sempre più un mezzo essenziale per espletare le nostre attività lavorative ed è sempre più presente nelle nostre realtà. Con esso, però, sono aumentati in modo esponenziale gli attacchi informatici alle imprese, indipendentemente dalle dimensioni.
Di questo aspetto tutte le autorità preposte alla formulazione di disposizioni regolatrici della privacy hanno cercato di occuparsene in modo sempre più stringente.
Nel 2019 l’International Organization for Standardization e la International Electrotechnical Commission hanno pubblicato un nuovo standard di privacy per aiutare le organizzazioni che raccolgono ed elaborano dati di persone fisiche a rispettare le leggi internazionali sulla privacy.
In particolare, la ISO/IEC 27701:2019 funge da estensione della privacy allo standard di gestione riconosciuto a livello internazionale per la sicurezza delle informazioni, ISO/IEC 27001. Nello specifico fornisce un framework che stabilisce le disposizioni per implementare, mantenere e migliorare costantemente un sistema di gestione delle informazioni sulla privacy, ampliando i requisiti e gli orientamenti forniti dallo standard ISO 27001.
Le due ISO usate in combinazione possono aiutare qualsiasi organizzazione nella dimostrazione della conformità delle disposizioni sulla Data Protection garantendo una riduzione dei rischi legati al trattamento di dati mediante strumenti informatici.
Costruire un buon sistema di gestione delle informazioni conforme alla normativa, GDPR compliance, significa raccogliere, elaborare dati in modo sistemico, saper gestire i rischi legati alla riservatezza, all’integrità e alla disponibilità delle informazioni. Significa anche sapersi coprire dall’evoluzione delle minacce e dei rischi per tali dati che il progresso tecnologico inevitabilmente rappresenta.
Costruire un sistema di gestione delle informazioni efficiente consente anche la riduzione dei costi associati alla sicurezza dei dati aumentando la resilienza delle reti agli attacchi informatici, inoltre consente di rilevare tutte le inefficienze dovute alla non corretto uso delle informazioni generate.
Conclusioni
Quanto sopra esposto rappresenta una minima elencazione delle tematiche che inevitabilmente si toccano durante il processo di adeguamento al GDPR da parte di qualsiasi operatore economico anche di piccole dimensioni.
Risulta, quindi, molto riduttivo e semplicistico pensare che con qualche documento elaborato o con qualche mail inviata l’organizzazione preposta possa raggiungere la compliance normativa.
Purtroppo, tale rappresentazione persiste ancora oggi probabilmente dovuta anche dal poco controllo esercitato dalle autorità preposte.
Il processo di adeguamento, spesso complesso e tortuoso, deve si terminare con la produzione di tutta quella documentazione necessaria per consentire all’interessato di esercitare i proprio diritti ma, al tempo stesso, deve costituire anche uno stimolo per tutte le organizzazioni a migliorare un processo, quello della raccolta ed utilizzo delle informazioni, che rappresenterà nel futuro una delle leve strategiche di massima importanza.
NOTE
[1] art. 4, par. 1, n. 10, e 29 GDPR
