Il 25/05/2018 è divenuto obbligatorio in Italia il Regolamento Europeo sulla protezione dei dati delle persone fisiche nonché sulla libera circolazione in tutto il territorio dell’Unione degli stessi. Tale obbligatorietà ha colto totalmente impreparati gli operatori italiani costringendoli ad una veloce e forzosa compliance i cui riverberi sono riscontrabili ancora oggi a circa due anni dall’entrata in vigore della norma comunitaria e successivamente di quella nazionale dai cui al decreto legislativo del 10 agosto 2018, n. 101, pubblicato in Gazzetta Ufficiale il 4 settembre 2018. Il quadro che ne scaturisce è di una pericolosa corsa all’adeguamento forzoso, senza considerare l’opportunità che può portare in termini di miglioramento sulla qualità dei processi e sullo scambio interno ed esterno di informazioni riservate. Se ben analizzato e concepito, l’adeguamento può portare ad un notevole miglioramento delle performance, oltre a considerare il processo come un investimento e non come un costo.
Evoluzione della normativa
Il Regolamento Generale Europeo, denominato GDPR, è entrato in vigore il 24 maggio 2016. Con esso viene riformata la legislazione europea in materia di protezione dei dati.
L’attuazione del GDPR in Italia è stata prevista a distanza di due anni, quindi a partire dal 25 maggio 2018. La Legge n. 163 del 25 ottobre 2017, pubblicata in Gazzetta Ufficiale n. 259 del 6 novembre 2017, delega il Governo al recepimento delle direttive europee e l’attuazione di altri atti dell’Unione Europea. L’art. 13 della Legge di delegazione europea 2016-2017, demanda al Governo il compito di adottare i decreti legislativi per adeguare entro 6 mesi il quadro normativo nazionale al Regolamento UE 2016/679 (GDPR).
Il termine della delega conferita dalle Camere al Governo era il 21/05/2018 poi prorogata al 21/11/2018. Il D.lgs. 101/2018 ha armonizzato la normativa nazionale in tema di protezione dei dati personali con le previsioni del GDPR.
Dalla normativa alla pratica, principali difficoltà operative.
Quando si passa ad applicare le norme alla realtà di tutti i giorni, per gli operatori commerciali che devono rispettare le disposizioni inizia un percorso di analisi delle attività caratterizzato da valutazioni specifiche per rendere tutte le procedure aziendali, che utilizzano dati delle persone fisiche, in modalità compliance alla normativa di legge. Purtroppo, a parere di chi scrive, ancora oggi il percorso di adeguamento viene spesso considerato dai titolari del trattamento come un mero obbligo normativo fine a sé stesso. Infatti, accade di frequente che molte aziende affidano l’adeguamento al GDPR della propria organizzazione a società di consulenza esterne, ritenendosi avulse dalla normativa. Spesso molte realtà si dichiarano conformi alla normativa pubblicando semplicemente una informativa sul proprio sito o provvedendo a riempire le mail di clienti e fornitori di documentazione di cui non se ne conosce a fondo la vera utilità. Quello che si evidenzia è che l’applicazione della normativa sulla protezione dei dati viene di consueto pensata come un ulteriore onere imposto dalle autorità, di scarsa importanza e quindi non meritevole di investimenti oltre alla forzosità’ della norma stessa.
Ritengo uno dei compiti principali dei consulenti quello di spiegare l’importanza di saper ben applicare nel lavoro di tutti i giorni le disposizioni in narrativa e la grande potenzialità e sviluppo che le stesse possono conferire ad ogni realtà, aziendale e non. Vediamone alcune.
Organizzazione aziendale: da imposizione a valorizzazione
L’adeguamento al GDPR può essere visto come due facce di una medaglia; la prima riguarda tutti i diritti dell’interessato; la seconda la protezione dei dati dello stesso. Il percorso di adeguamento dovrà quindi seguire queste due impostazioni per considerarsi completo.
Per quanto riguarda i diritti degli interessati il lavoro principale da espletare si sostanzia nella preparazione della documentazione interna ed esterna per permettere a questo soggetto di esercitare tutte le facoltà a lui riservate dalla legge e per informarlo del fatto che possediamo dati che lo riguardano.
Quando si passa, invece, all’aspetto della protezione dati è necessario entrare nel vivo dei processi e delle procedure aziendali. Uno dei primi adempimenti, infatti, consiste nell’analizzare tutto il flusso compiuto dagli stessi in modo dinamico e continuo, dal loro input al loro output.
Inizia quindi una fase di studio e di analisi dell’intera azienda sintetizzabile in questi step:
- Identificazione del processo/processi aziendali;
- Definizione degli attori del processo/i aziendale (ad esempio fornitori, clienti);
- Definizione degli input e degli output scambiati tra gli attori del processo aziendale;
- Definizione delle attività e delle procedure che regolano lo svolgimento del processo aziendale;
- Analisi della durata delle attività e delle procedure che regolano lo svolgimento del processo aziendale;
- Definizione delle prestazioni attese da quel processo aziendale;
- Definizione delle responsabilità del processo aziendale.
Appare evidente come partendo dall’analisi dei dati, quasi approcciandoli come fosse un vero check up, si ha l’opportunità di monitorare molti processi aziendali, avendo quindi la possibilità di evidenziare criticità, malfunzionamenti con la relativa possibilità di apportare modifiche, al fine di aumentare e migliorare la produttività aziendale.
Per questo ed altri motivi, non sono d’accordo con molti imprenditori ed alcuni consulenti che vedono nella compliance al GDPR un ulteriore costo aziendale e una burocratizzazione delle attività, ma come una reale opportunità, oltre all’adeguamento, di mappare i flussi per evidenziare le criticità: è qui la vera sfida che porterà un valore aggiunto reale all’organizzazione.
BIG DATA: l’occasione per un’analisi molto più evolutiva
La conoscenza dei flussi è anche utile per iniziare l’elaborazione dei dati e trasformarli in nuove informazioni generate in modo continuo e dinamico per consentire decisioni sempre più precise ed accurate. Il processo di avvicinamento ad un progetto di Big Data può avere così inizio.
Ormai sappiamo quanto sia importante disporre di dati sia interni che esterni per qualsiasi tipo di analisi. Molto importante per un’azienda, per esempio, è la possibilità di costruire una Customer Journey e cioè un percorso che il proprio cliente compie quando inizia una relazione con essa, nel tempo e nei diversi luoghi di contatto siano essi online che offline.
Appare fondamentale inoltre poter fare delle Predictive Analysis, ovvero delle elaborazioni di dati per rispondere a domande relative a cosa potrebbero acquistare nel futuro i nostri clienti, nonché utilizzare delle Prescriptive Analysis, applicazioni big data evolute che riescono a proporre a chi prende decisioni, soluzioni operative e strategiche sulla base delle analisi svolte fino all’Automated Analysis, capaci di implementare autonomamente l’azione proposta secondo il risultato delle analisi compiute.
Come potremmo disporre, archiviare ed utilizzare queste preziose informazioni se, nel caso di dati appartenenti a persone fisiche, il processo di raccolta, elaborazione e archiviazione non è rispondente alla normativa del GDPR?
La possibilità di commettere atti illeciti, cioè trattamenti non conformi alla norma, è molto alta con probabilità di ricevere sanzioni molto pesanti sia di tipo monetario che penale.
Organigramma: un obbligo spesso non conosciuto
Il GDPR prevede che tutti coloro che svolgono attività di trattamento di dati personali, sotto l’autorità del titolare o del responsabile del trattamento, vengano dagli stessi autorizzati e a tale scopo istruiti
Sono molte le realtà visitate che risultano sprovviste di un documento dove sia possibile visionare gli assetti organizzativi e le attività svolte dal personale dipendente. Spesso molti imprenditori non sono neppure a conoscenza delle varie attività implementate dai propri collaboratori.
Con il GDPR dovendo stabilire chi può trattare dati da chi non è autorizzato, abbiamo la possibilità di consigliare tutte quelle realtà sprovviste di organigramma (strumento che rimane comunque fondamentale per organizzare le risorse in azienda) di iniziare a farne uso in modo da riuscire a correggere inefficienze spesso lasciate irrisolte da tempo ed inoltre consentire al titolare del trattamento di avere notizia delle innumerevoli attività svolte giornalmente.
Information Technology a servizio della protezione del dato
Viviamo in un mondo sempre più tecnologico in costante e continua evoluzione. Lo strumento informatico è sempre più un mezzo essenziale per espletare le nostre attività lavorative ed è sempre più presente nelle nostre realtà. Con esso, però, sono aumentati in modo esponenziale gli attacchi informatici alle imprese, indipendentemente dalle dimensioni. Di questo aspetto tutte le autorità preposte alla formulazione di disposizioni regolatrici della privacy hanno cercato di occuparsene in modo sempre più stringente.
Per esempio nel 2019 l’International Organization for Standardization (ISO) e la International Electrotechnical Commission (IEC) hanno pubblicato un nuovo standard di privacy per aiutare le organizzazioni che raccolgono ed elaborano dati di persone fisiche a rispettare le leggi internazionali sulla privacy. In particolare, la ISO/IEC 27701:2019 funge da estensione della privacy allo standard di gestione riconosciuto a livello internazionale per la sicurezza delle informazioni, ISO/IEC 27001. Nello specifico fornisce un framework che stabilisce le disposizioni per implementare, mantenere e migliorare costantemente un sistema di gestione delle informazioni sulla privacy, ampliando i requisiti e gli orientamenti forniti dallo standard ISO 27001. Le due ISO usate in combinazione possono aiutare qualsiasi organizzazione nella dimostrazione della conformità delle disposizioni sulla Data Protection garantendo una riduzione dei rischi legati al trattamento di dati mediante strumenti informatici.
Costruire un buon sistema di gestione delle informazioni conforme alla normativa, GDPR compliance, significa in primis raccogliere ed elaborare dati in modo sistemico e conseguentemente saper gestire i rischi legati alla riservatezza, all’integrità e alla disponibilità delle informazioni.
Significa anche sapersi coprire dall’evoluzione delle minacce e dei rischi che il progresso tecnologico inevitabilmente rappresenta per tali dati.
Costruire un sistema di gestione delle informazioni efficiente consente anche la riduzione dei costi associati alla sicurezza dei dati aumentando la resistenza delle reti agli attacchi informatici, inoltre consente di rilevare tutte le inefficienze dovute al non corretto uso delle informazioni generate.
Conclusioni: cogliere con approccio positivo la nuova opportunità
Quanto sopra esposto rappresenta una minima elencazione delle tematiche che inevitabilmente si toccano durante il processo di adeguamento al GDPR da parte di qualsiasi operatore economico anche di piccole dimensioni.
Risulta, quindi, molto riduttivo e semplicistico pensare che con qualche documento elaborato o con qualche mail inviata, l’organizzazione preposta possa raggiungere la compliance normativa.
Purtroppo, tale rappresentazione persiste ancora oggi probabilmente dovuta anche dal poco controllo esercitato dalle autorità preposte.
Il processo di adeguamento, spesso complesso e tortuoso, deve si terminare con la produzione di tutta quella documentazione necessaria per consentire all’interessato di esercitare i proprio diritti ma, al tempo stesso, deve costituire anche uno stimolo per tutte le organizzazioni a migliorare un processo, quello della raccolta ed utilizzo delle informazioni, che rappresenterà nel futuro una delle leve strategiche di massima importanza.
Se vuoi approfondire il nostro approccio alla consulenza in materia di compliance GDPR, contattaci:
Ausilya Srl
Dott. Marco Rosati
Cell. 3473349671