La catena della gestione dati
Raccolta dati è un termine generico ed insufficiente per descrivere una vera e propria catena adibita a disciplinare l’intera attività di gestione dati che servono ad un’azienda. Precisiamo subito, non è a causa del GDPR se quella del trattamento dati si è trasformata in una vera e propria filiera, indispensabile per una corretta gestione aziendale.
Sono a dir poco remoti, arcaici addirittura, i tempi in cui era sufficiente registrare fornitori e clienti in archivi cartacei e aggiornarli solo quando indispensabile. Oggi i dati non sono soltanto quelli tradizionali. Ricordiamo, che in ogni caso, questi sono aumentati per ciascuno dei soggetti dovendo includersi PEC, mail private e aziendali, siti internet e quant’altro necessario. Oggi un database aziendale è formato anche da dati statistici e valutazioni. Dati che vanno dalla customer satisfaction (soddisfazione del cliente) alle criticità del post-vendita e non solo. Ovviamente non sono certo questi dati personali da trattare ai sensi del GDPR. Tuttavia si tratta comunque di elementi del patrimonio aziendale che devono trovare una loro tutela e protezione. In tal senso, gli strumenti messi a disposizione da una corretta applicazione del GDPR possono rivelarsi utili.
Raccolta dei dati
Fin dal momento della raccolta è possibile individuare i soggetti deputati ad ogni forma di trattamento sia all’interno di un’azienda che da parte di fornitori esterni di servizi. Ad esempio, il consulente del lavoro per i necessari adempimenti e il commercialista per la contabilità; ciò anche al fine di predisporre informative sufficientemente esaustive e non correre il rischio di omissioni derivanti da frettolosi copia-incolla.
Venendo comunque alla protezione del dato così come imposto dal regolamento Europeo 679/2016, che ancora in troppi ignorano, l’organizzazione della catena inizia dal momento in cui si debbano scegliere i dati da trattare. Il principio della minimizzazione, infatti, è un parametro che, se da un lato impone dall’altro consente ad un’azienda di evitare un appesantimento dei propri archivi e, conseguentemente, anche abbassare i rischi in casi di perdita dati.
Formazione del personale
Formazione del personale e lettere di incarico diventano ulteriori strumenti essenziali. Non solo come elemento dell’organizzazione aziendale, ma come mezzi per evitare appesantimenti di dati nei flussi e dispersione delle informazioni. Questi, con un’attenta pianificazione, possono rimanere nella disponibilità solo di chi ha necessità di conoscerle per determinati scopi. Ne guadagnerebbe anche la sicurezza aziendale nel suo complesso.
Rischio di data breach
Indispensabile per aziende che hanno più reparti o divisioni valutare a quali consentire l’accesso alle varie tipologie di dati. A molti sfugge che, ad esempio, è inutile per un settore produzione avere a disposizione gli indirizzi dei clienti che servono a chi è incaricato alle spedizioni. Allo stesso modo, nel caso di studi medici e laboratori di analisi è a dir poco inopportuno che la contabilità venga a conoscenza delle patologie dei pazienti o possa accedere ai referti medici. Una corretta gestione di archivi e computer sul punto porterebbe anche ad una limitazione dei rischi in caso di data breach. Questo in effetti limiterebbe danni e diffusioni di dati.
Un’attenta valutazione dei rischi e una conseguente corretta pianificazione e gestione della Privacy può quindi rivelarsi non il costo temuto che, purtroppo, porta molte aziende a non applicare correttamente il GDPR, bensì un miglioramento della complessiva funzionalità dell’azienda e uno snellimento delle procedure.