La Privacy in azienda, non un ostacolo ma una base solida per la crescita
Normalmente si percepisce la normativa sulla privacy come l’ennesima “cosa da fare per essere in regola” nella propria azienda. Uno dei tanti obblighi che si aggiunge a quelli già esistenti, come ad esempio la sicurezza sul lavoro.
Con questa forma mentis allora la privacy è solo la produzione di documenti mirati ad evitare delle sanzioni, una serie di obblighi d’adempiere il prima possibile per non dover tornare nuovamente sulla questione, una spesa iniziale necessaria (apparentemente poco utile) per uniformarsi con le prescrizioni di un legislatore molto scrupoloso nel far ricadere ogni responsabilità sull’azienda.
Ma proprio questo tipo di approccio è quello che ha portato la maggior parte dei soggetti destinatari della normativa, compresi quelli pubblici, ad essere impreparata all’entrata in vigore del nuovo Regolamento Europeo, pur con due anni di tempo dal momento dell’approvazione del GDPR per potersi organizzare al meglio.
Il dato è il “nuovo oro”
La privacy e la protezione dei dati personali, in realtà, possono essere qualcosa di molto più utile per le aziende stesse, una base solida su cui investire per garantire una crescita in sicurezza.
Innanzitutto, perché l’avere cura del dato personale trattato significa dimostrare di aver interesse verso i propri clienti, utenti, partners, fornitori o dipendenti. Il poter garantire e dimostrare di saper gestire in sicurezza il “nuovo oro” del nostro secolo, il dato personale per l’appunto, significa poter dar fiducia a coloro che si affidano alla nostra azienda. L’uniformarsi in maniera ottimale alle disposizioni del GDPR, l’adottare le migliori misure organizzative e tecniche, il rimanere in costante aggiornamento e il poter dimostrare il proprio livello di sicurezza hanno sicuramente un certo grado di attrazione sulla propria clientela. Ed inoltre saranno i nostri fornitori o partners commerciali a richiederci un livello di sicurezza elevato o pari al loro, così da trattare quei dati che vengono condivisi tra le due aziende in maniera protetta per tutta la durata di vita del dato stesso.
Tutelare il sistema di sicurezza aziendale
Chiaramente le misure tecniche ed organizzative che l’azienda attuerà attraverso una scelta consapevole rispetto alla propria realtà sono misure non solo volte esclusivamente alla sicurezza del dato personale, vale a dire qualsiasi informazione riconducibile a persona fisica determinata o determinabile, così come previsto dal Regolamento. Quelle misure saranno anche le stesse che si applicheranno alla generalità dei dati e delle informazioni che vengono gestite dall’azienda. Non saranno solo tutela per i terzi con cui l’azienda si rapporta, ma saranno poste a tutela dell’azienda stessa, del dato con cui lavora o sui cui si può basare l’attività stessa. Allora l’investimento non è più solo una analisi privacy, ma una analisi che monitori l’intero stato di sicurezza aziendale. Non è più solo l’adozione di misure tecniche per proteggere i dati personali, ma misure per proteggere l’attività stessa. Attività che comprendano soluzioni per l’efficienza delle risorse e dei processi, piani di business continuity e disaster recovery. Inoltre, l’adozione anche di misure organizzative sul piano della tutela del dato, non potranno che essere modelli virtuosi per l’intera organizzazione. Come? Individuando nello specifico ruoli e funzioni, fornendo credenziali e permessi che non si limitino solo a permettere l’accesso a certe tipologie di dato ai soli soggetti autorizzati, ma che permettano nell’azienda stessa una gestione consapevole dei diversi incarichi ed autorizzazioni.
Progettare l’azienda a misura di privacy
Impostare l’intera attività secondo i principi di privacy, attraverso una scelta ab origine privacy compliant, conviene. Questo perché comporta inevitabilmente uno sgravio di successivi investimenti e attività volte a riportare nell’alveo della sicurezza del dato ciò che avrebbe proficuamente già potuto nascere tale.
Dunque, la previsione della data protection by design e by default non è altro che attuare un trattamento di dati personali fin dalla progettazione e per impostazione predefinita, nel rispetto dei principi di protezione dei dati.
Nel momento stesso in cui si pensa di compiere una attività che implichi l’utilizzo dei dati personali, bisogna idearla a tutela del dato stesso e far sì che tale livello di sicurezza sia mantenuto per il perdurare del trattamento stesso.
Se si implementa un nuovo servizio che implichi la raccolta di dati degli utenti, tale raccolta dovrà essere già pensata nel rispetto dei principi di minimizzazione. Ad esempio, bisognerà prevedere l’uso di moduli o form online che richiedano solo i dati essenziali per l’erogazione di quel servizio, e che solo per quel servizio vengano utilizzati. Si deve già prevedere dove, da chi, come e fino a quando verrà gestito e conservato il dato. Devono essere previste le necessarie misure di sicurezza.
La tutela del dato come modus operandi
Dunque, si richiede un vero e proprio mutamento ideologico, tale da rendere la privacy e la protezione dei dati come presupposti all’agire stesso dell’azienda. La tutela della privacy deve diventare il naturale modus operandi di qualsiasi attività, un elemento presupposto ed imprescindibile.
Proprio il mutamento ideologico richiesto a chi soggiace agli obblighi del Regolamento Europeo sarà la vera base per una sicura circolazione dei dati personali. Una circolazione inevitabile e incentivata dallo stesso legislatore europeo per un mercato unico digitale che possa rendere l’Unione e le sue aziende competitive a livello mondiale, senza che questo avvenga a discapito dei cittadini.