Da Giornale Partite Iva del 17 luglio 2018
Non è la prima volta che le imprese italiane hanno a che fare con tematiche relative alle modalità di trattamento dati personali. Fino a pochi giorni fa la chiamavamo genericamente privacy ed era sufficiente applicare una serie di indicazioni che la normativa forniva in maniera analitica per effettuare una gestione del dato personale lecita, sicura e trasparente.
Tuttavia, è evidente che le stesse regole applicate ad una platea indifferenziata di soggetti che trattano per diversi scopi dati personali di differenti natura e provenienza non può essere ritenuto un approccio risolutivo al problema.
Si, ma quale problema? Rendere una informativa su come tratteremo i loro dati ai propri dipendenti, clienti e fornitori? No, il problema è assicurare all’interessato -il “proprietario” del dato personale trattato- che i suoi dati sono trattati con una base giuridica lecita (un contratto o un libero consenso, ad esempio),sono sotto stretto controllo e sono al sicuro da malintenzionati, collaboratori infedeli o semplicemente non sufficientemente avveduti da assicurare l’integrità e l’inviolabilità di tali dati.
Per dar seguito alle pressioni dell’opinione pubblica e far fronte alle esigenze di tutela dettate da una tecnologia che è ormai in grado di tracciare e profilare grandi quantità di dati, anche senza il nostro consenso, la Commissione Europea, nel 2016, ha emanato il Regolamento numero 679, General Data Protection Regulation, GDPR.
La norma europea rappresenta, soprattutto per noi italiani, una grande rivoluzione: si passa dall’adempiere ad una serie di indicazioni al responsabilizzarsi in funzione del tipo, della numerosità dei dati personali e delle loro modalità di trattamento.
Il GDPR riporta nel dominio e nella responsabilità dell’impresa le azioni ed i processi da implementare per assicurare sicurezza del dato personale. Non per nulla, l’evento più infausto che la norma abbia previsto possa accadere ad una impresa è il c.d data breach ovvero una fuoriuscita non controllata, dolosa o colposa, dei dati personali gestiti in azienda.
Nell’istituire nuovi principi e diritti per l’interessato (i più importanti sono il diritto all’oblio e la portabilità del dato) il GDPR offre alle aziende che trattano dati personali di cittadini europei viventi, l’opportunità per una revisione delle infrastrutture e delle procedure informatiche. Un software non aggiornato si assume sia poco sicuro, una infrastruttura che consenta a chiunque inserisca una chiavetta USB di prelevare dati senza essere tracciato è evidentemente un rischio per le informazioni aziendali.
Infatti, mentre si procede all’adeguamento alla normativa europea, ciò che normalmente accade presso i nostri clienti è che si consolida la consapevolezza che dati aziendali (veri e propri asset) possono essere a rischio esattamente come i dati personali trattati. Spesso, come nel caso dei dati dei contatti commerciali, il confine tra asset (valore) aziendale e dato personale diventa estremamente labile.
Così, mentre si adegua la documentazione tecnico-giuridica, si scopre, ad esempio, che quei dati gestiti su un foglio excel sarebbe meglio gestirli in un CRM e che quel CRM si può installare liberamente senza costi di licenza.
Limitarsi ad interpretare l’adeguamento ad GDPR come l’ennesimo, sostanzialmente inutile adempimento è sbagliato, ma molto dipende dal tipo di consulente che l’impresa sceglie per il processo di adeguamento.
StudioBoost, per rispondere alle pressanti richieste della propria clientela, ha istituito un team multidisciplinare altamente specializzato e performante (che significa minori costi per il cliente) che assisterà tutti coloro che vogliano beneficiare dell’opportunità offerta dal GDPR alle imprese italiane. Il team negli ultimi 60 giorni ha già lavorato su diverse decine di imprese di diverse dimensioni spaziando dalle società di selezione personale, agli studi professionali, alle società informatiche ed ai grandi gruppi industriali.
Per informazioni e contatti privacy@studioboost.it
Leggi su Giornale Partite IVA
