Louis Brandeis e Samuel Warren sono due, sconosciuti ai più, giuristi statunitensi che nel 1890 pubblicarono sulla Harward Law Review l’articolo intitolato “The Right of Privacy” dando il via al dibattito sulla protezione dei dati personali. Molti anni dopo quel testo l’Unione Europea ha varato il Gdpr, il Regolamento generale sulla protezione dei dati, che prevede una serie di adempimenti da parte delle aziende.
Perché nel frattempo lo sviluppo tecnologico e la maggiore sensibilità da parte dei cittadini hanno fatto crescere l’importanza della tutela dei dati. Nasce così la nuova normativa secondo la quale ogni azienda deve individuare le attività di trattamento dei dati personali, i dati trattati e agire di conseguenza per garantirne la protezione. Per dati personali si intende anche il semplice elenco dei clienti con indirizzi e numero di telefono.
Tecnologia e organizzazione
Con il nuovo Regolamento l’azienda è tenuta a mettere in atto tutte le misure tecniche e organizzative per garantire la sicurezza dei dati e cercare di diminuire il più possibile la possibilità che vi sia una perdita o una sottrazione da parte di accessi non autorizzati. Fondamentale è realizzare una valutazione del rischio che può derivare da una sottrazione dei dati.
Dal punto di vista tecnologico è necessaria una soluzione di sicurezza informatica con antivirus e firewall che, con la necessaria assistenza di un partner di livello, assicuri che l’azienda ha messo in atto tutte le contromisure necessarie per tutelare il patrimonio informativo. Oltre ai normali strumenti della security bisogna pensare anche al disaster recovery per ripristinare il più in fretta possibile la possibilità di accedere ai dati in caso di guasto o attacco e una procedura di backup per avere sempre a disposizione una copia della situazione.
Accanto alla tecnologia bisogna prendere anche misure organizzative come la nomina di un Responsabile per la protezione dei dati o Data protection officer (Dpo o Rpd). Si tratta di una figura molto importante che deve sorvegliare sull’applicazione del Gdpr oltre a sensibilizzare e formare il personale.
Procedura continua
Dopo avere individuato, raccolto e conservato i dati l’azienda deve garantire agli interessati la possibilità di esercitare i diritti previsti dalla nuova normativa. E quindi predisporre una corretta informativa sulla privacy che deve essere chiara, concisa, precisa e trasparente. A tutti deve essere garantito il diritto di accesso, rettifica e cancellazione. In questo processo è molto importante individuare i soggetti interni (dipendenti) o esterni (consulenti) che effettuano il trattamento dei dati per conto dell’azienda. In pratica bisogna sapere chi fa cosa con quei dati e nel caso siano consulenti esterni dovranno essere individuati quali Responsabili del trattamento e nominati come tali dall’azienda. Un Registro delle attività di trattamento dovrà poi contenere le principali informazioni sulle operazioni di trattamento.
L’adeguamento al Gdpr non deve però essere inteso come un compito da risolvere con due riunioni e qualche giornata di lavoro dedicata per poi passare ad altro. Questo, come la sicurezza, è un processo continuo che richiede un costante monitoraggio e accompagna la vita dell’azienda che deve sapere interpretare il tutto non come l’ennesimo adempimento ma un processo che la porta a salvaguardare i suoi dati, un patrimonio fondamentale per le sue attività.
