Da quando è entrato in vigore il Regolamento europeo in materia di protezione dei dati personali 679/2016 sul mercato sono comparsi molti software che hanno l’obiettivo di agevolare le aziende nell’adeguamento alle norme contenute in questo regolamento. Tanti prodotti dalle funzionalità più diverse che possono però mandare in confusione i responsabili aziendali, che non sanno molto spesso né come interpretare la norma, né quali software potrebbero effettivamente soddisfare le proprie esigenze. Ecco allora qualche indicazione per una scelta più consapevole.
Il Regolamento europeo in materia di protezione dei dati personali 679/2016
Il GDPR, sigla che indica il Regolamento europeo in materia di protezione dei dati personali 679/2016, è un insieme di norme che regola la materia del trattamento dei dati personali e la tutela della privacy. L’obiettivo è quello di rafforzare il sistema di protezione dei dati e consentire a tutti gli utenti di poter scegliere cosa e con chi condividere, avendo anche la possibilità di cambiare idea in qualunque momento. Il Regolamento si applica unicamente ai dati personali degli utenti fisici e non alle aziende. Tuttavia l’entrata in vigore di questo regolamento ha condizionato pesantemente l’attività di imprese di ogni settore merceologico che hanno iniziato la corsa all’adeguamento a questa normativa, per evitare di incorrere in pesanti multe. Fra le novità più significative del GDPR c’è stata l’introduzione del concetto di privacy by design, cioè la progettazione di software e siti che contemplino la tutela dei dati fin dalla loro progettazione, e quello di privacy by default, ossia l’obbligo ad attuare le misure di protezione della privacy per impostazione predefinita.
Cos’è la compliance aziendale
Il Regolamento GDPR è strettamente legato al concetto di compliance aziendale. Che cosa contraddistingue la compliance? Si tratta dell’insieme di attività, strumenti e comportamenti che un’azienda mette un campo per riuscire ad adeguarsi ai codici di etico ma anche ai regolamenti e alle disposizioni di legge. L’obiettivo ovviamente è quello di non venir meno alle leggi e di non incorrere in multe e sanzioni. Di solito ogni azienda di medie e grandi dimensioni si dota di un esperto di compliance aziendale che, in accordo con il consiglio di amministrazione, lavora per tratteggiare le best practices che sono indispensabili non solo per rispettare le norme governative ma anche per rendere l’azienda più competitiva sul mercato. La compliance aziendale, inoltre, è strettamente legata alla reputazione aziendale che è uno degli elementi utilizzati dai mercati per premiare un’azienda in termini di vendite e di ricavi. Ovviamente il responsabile della compliance aziendale deve essere messo dall’impresa nelle condizioni di poter operare al meglio. Per ottenere questo obiettivo è indispensabile anche avere un software per gestire gli adempimenti del GDPR. Non è semplice riuscire a trovare il prodotto giusto perché sono tanti gli elementi da prendere in considerazione: qualche consiglio, però, può essere utile.
Come scegliere il software per la propria azienda
L’entrata in vigore del Regolamento europeo in materia di protezione dei dati personali 679/2016 ha chiaramente fatto emergere la necessità di un lavoro congiunto fra diversi professionisti per riuscire non solo ad interpretare il GDPR ma anche ad applicarlo nel modo corretto. È ovvio che in uno scenario del genere il primo passo sia quello di istituire una task force che consenta di studiare approfonditamente le necessità dell’impresa e i gap che le impediscono l’applicazione del nuovo Regolamento. Solo successivamente sarà possibile stilare un elenco dettagliato delle caratteristiche che devono essere presenti nel software che sarà deputato alla gestione della compliance aziendale. Alcune realtà pensano di poter sostituire l’utilizzo del software con la consulenza di un esperto di compliance aziendale o, viceversa, scegliere un software al posto della professionalità di un consulente esperto. In realtà un metodo non esclude un altro e anzi la convergenza di strumenti e forze intellettuali rappresenta la strategia migliore per riuscire a pianificare correttamente l’inserimento delle regole dettate dal Regolamento europeo in materia di protezione dei dati personali 679/2016 nella compliance dell’impresa, al fine di migliorare i codici di comportamento, evitare multe e sanzioni ma anche banalmente rendere più produttiva l’impresa attraverso una razionalizzazione e ottimizzazione delle risorse.
Le caratteristiche dei software per adempiere al GDPR
Bisogna ricordare che il mancato rispetto delle norme contenute nel Regolamento europeo in materia di protezione dei dati personali 679/2016 causa pesanti ripercussioni legali al titolare dell’impresa, anche a livello legale. Per questo motivo è importante scegliere gli strumenti giusti per la gestione del trattamento dei dati e della tutela della privacy. La prima regola in tal senso è quello di scegliere un software che sia altamente personalizzabile poiché ogni sistema impresa è differente dall’altro ed è necessario trovare qualcosa che risponda in maniera speculare ai propri bisogni. Il rischio, infatti, è quello di prendere il primo software che capiti e che si scelga un prodotto che consenta esclusivamente un adeguamento cartolare e formale ma che non vada ad incidere effettivamente sui processi, l’aspetto più importante sul quale deve adeguarsi la compliance aziendale. Inoltre è da sottolineare che qualunque sia la personalizzazione eseguita sul software, questa non può essere in alcun modo scissa dalla necessità di un’assunzione di consapevolezza non solo del titolare ma anche di tutti i dipendenti, che in questo modo potranno utilizzare meglio il software e trarne effettivo beneficio dal suo impiego, che – va sempre ricordato – è quello di assicurare un adeguato livello di protezione dei dati di tutti gli utenti.
Due dati fondamentali: affidabilità e sicurezza per i software per GDPR
Fra gli aspetti fondamentali che non devono mancare in un buon software gestionale per la compliance aziendale ci sono l’affidabilità e la sicurezza. Quando si parla di affidabilità si fa riferimento in modo particolare ad un software che non sia semplicemente un riproduttore di carte e documenti quanto un sistema certo e stabile per consentire a tutti gli attori che sono coinvolti nella compliance aziendale di poter entrare nei sistemi dedicati alla gestione dei dati e della privacy, per interagire fra di loro e trattare questa materia secondo il dispositivo di legge. Inoltre deve essere data la possibilità al responsabile del trattamento dei dati di monitorare in modo semplice e veloce le procedure aziendali, i registri ma anche la contrattualistica secondo i modelli indicati dal GDPR. Un aspetto fondamentale è quello della costante analisi dei rischi per evitare che nel corso del tempo l’attenzione possa calare e si corra il rischio di incorrere in inadempimenti. Più comprensibile, invece, il discorso sulla sicurezza che è legato alla possibilità di proteggere i dati personali contenuti nel software dall’intrusione di terzi ma anche autorizzare a vari livelli la possibilità degli utenti di accedere alla consultazione delle banche dati, ingresso da regolare in base al tipo di utilizzo che i dipendenti dovranno fare di questi e dati e ovviamente anche in base alle mansioni svolte.
L’importanza della corretta applicazione del GDPR in azienda
È importante sottolineare che in alcun modo, nelle intenzioni del legislatore, il GDPR ha voluto assumere le sembianze di un complesso apparato di disposizioni nato per tarpare le ali della produttività e della libera concorrenza. Piuttosto deve essere preso come spunto per ripensare il processo aziendale e ottimizzare le attività. Il dato, a qualunque livello, è uno dei patrimoni più importanti di un’azienda che pertanto deve imparare a proteggerlo nel modo adeguato. All’interno del GDPR sono contenute delle norme che sono pensate per la salvaguardia di tutti e molte non sono neanche così complesse da mettere in pratica, come ad esempio abituare i dipendenti di ogni ordine e grado a riporre in modo accurato e in cassetti o armadi protetti i documenti più delicati, prassi conosciuta tecnicamente come clear desk policy. Inoltre è indispensabile che le procedure applicate siano facilmente dimostrabili in caso di controllo. L’utilizzo di un software dedicato, allora, può sicuramente risultare utile nella realizzazione di tutta la documentazione a riprova del corretto recepimento della norma, sempre che si abbia l’accortezza di scegliere un prodotto che consenta non solo il monitoraggio ma anche l’eventuale applicazione di correzioni in corso d’opera.