Privacy Compliance come indicatore della qualità dei processi aziendali

Il tema della Privacy è un tema che si è reso protagonista di una importante evoluzione, tanto che la disciplina prevista dal c.d. GDPR richiede che i soggetti che trattano dati personali debbano farlo con più senso critico, prestando attenzione tanto all’aspetto formale che all’aspetto sostanziale dei vari adempimenti.

Ogni azienda che ricerchi un adeguamento sostanziale alla normativa in materia di Privacy può ottenere una serie di vantaggi che vanno ben oltre ai semplici aspetti di compliance, potendo, infatti, migliorare la propria efficienza, la propria sicurezza e con esse, conseguentemente, anche la propria reddittività.

In primo luogo, però, occorre chiedersi cosa si intenda con “Privacy Compliance”, o meglio, quando un’azienda può definirsi Privacy Compliant.
Volendo sintetizzare il concetto ai minimi termini essere Privacy Compliant significa –– porre in essere tutte le attività necessarie a garantire che i processi di gestione dei dati siano conformi alla normativa sulla Privacy attualmente in vigore.

Risulta, quindi, essenziale prestare particolare attenzione alla gestione di tutte le regole all’uopo previste al fine di prevenire e ridurre tutti i rischi connessi e derivanti dalla violazione della normativa che trova la sua fonte principale nel noto Regolamento UE n. 679/2016, c.d. GDPR.

Infatti, se un’azienda è Privacy Compliant dimostra di avere dei processi ben definiti per la gestione dei dati dei propri clienti, fornitori e dipendenti, quindi, dimostra di aver adottato misure atte a prevenire eventuali rischi di violazione e/o perdita di integrità o disponibilità di tali dati.

Ciò genera, soprattutto da parte dei clienti, una maggior fiducia nell’azienda stessa, oltre a contribuire ad un miglioramento della sua reputazione ed a rendere i processi aziendali indubbiamente più sicuri e qualitativi.

Tale considerazione vale non soltanto per quelle aziende che operano in settori in cui la Privacy è altamente regolamentata, come ad esempio il settore finanziario o sanitario, nei quali è richiesto il rispetto di normative specifiche, ma per tutte le aziende in generale.

Inoltre, la caratteristica di un’azienda di essere Privacy Compliant può essere interpretata come indice del fatto che la stessa sia particolarmente attenta all’applicazione scrupolosa di tutte le norme applicabili al proprio settore e ciò è indiscutibilmente segnale di una buona governance.

Entrando, quindi, nel merito di quelli che sono i principali aspetti dettati dal GDPR al fine di individuare il valore aggiunto che le attività ivi previste possono portare ai processi aziendali, innanzitutto, il focus principale va al Registro delle attività di trattamento.

Il Regolamento europeo succitato, all’art. 30, rubricato “Registri delle attività di trattamento”, prevede che ogni titolare del trattamento predisponga un documento in cui indicare le principali informazioni relative alle operazioni di trattamento, con lo scopo di garantire la massima tutela possibile dei dati personali degli interessati.

Tale Registro – che, ai sensi della norma sovra detta, deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta del Garante – oltre a dover essere predisposto con ordine e trasparenza, può essere simbolo di una maggior organizzazione ed efficienza interna all’azienda in questione.

Esso, infatti, fornisce un quadro aggiornato dei trattamenti posti in essere nell’organizzazione aziendale, pertanto, affinché la tenuta di tale Registro sia adeguata, occorre essere a conoscenza di tutti i processi aziendali. È, quindi, necessario tener conto di tutti gli aspetti ed ambiti in cui il dato personale viene trattato e ciò è possibile soltanto mediante una visione completa.

Conseguentemente, occorrerà preliminarmente studiare i processi aziendali al fine di poter poi individuare i vari ambiti in cui i dati degli interessati verranno trattati.


Articolo 30
Registri delle attività di trattamento

1.   Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:
a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

2.   Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:
a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

3.   I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico.

4.   Su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo.

5.   Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.

 

A sua volta, tale attività di analisi consente alle aziende stesse di migliorare la qualità dei processi, metterne in luce eventuali carenze o anomalie e quindi adoperarsi al fine di colmarle o eliminarle.

Nel Registro dei Trattamenti, inoltre, dovranno essere indicate le misure di sicurezza da adottare per eliminare o ridurre i rischi legati al trattamento dei dati ed a tal fine occorrerà individuare gli strumenti migliori tramite i quali deve avvenire un corretto trattamento dei dati.
Una visione completa ed esaustiva degli assets impiegati per il trattamento dei dati personali, inoltre, può rendere più efficienti e produttivi anche i vari processi aziendali, dal momento che si avrà un quadro preciso di come e dove circolano le varie informazioni all’interno dell’azienda, oltre a generare un miglioramento anche in termini di efficienza.

Ovviamente, tale Registro deve essere tenuto in modo chiaro, preciso ed organizzato, ma soprattutto deve essere aggiornato ogniqualvolta si renda necessario: pertanto, è facile dedurre che ciò induca a prestare maggior attenzione anche alle attività poste in essere, ma soprattutto alle modalità in cui le informazioni circolano, facendo al contempo guadagnare indici di performance in termini di qualità.

Il GDPR prevede, altresì, una limitazione alla conservazione dei dati personali trattati, circoscrivendo tale conservazione al periodo strettamente necessario a raggiungere le finalità per le quali il dato deve essere trattato; dunque, occorrerà rendere più efficiente anche il sistema di tenuta dei dati in modo da poterli facilmente eliminare nel momento in cui ciò debba essere effettuato.

Va da sé che sarà più facile realizzare tale adempimento mediante l’adozione di strumenti digitalizzati: ciò può incentivare l’azienda a rafforzare la digitalizzazione all’interno dei propri processi, con tutti i benefici che ne possono essere ulteriormente tratti, tra i quali, in primis, un miglioramento delle performance grazie all’utilizzo della tecnologia e dei vari sistemi informatici.

In particolare, il rafforzamento dell’utilizzo dei sistemi informatici diviene indispensabile allorquando si tratta di dover predisporre le misure adeguate per la protezione dei dati, come l’utilizzo di efficienti sistemi di back-up e l’adozione di password complesse: conseguentemente, proteggere maggiormente i dati personali grazie ad un potenziamento dei sistemi informatici si traduce anche in una maggior protezione dell’azienda nel suo complesso.

In tale prospettiva, un ulteriore elemento previsto dal GDPR che può concorrere a rendere più qualitativi i processi aziendali, ma soprattutto a renderli più affidabili per il cliente, è la Valutazione d’Impatto sulla protezione dei dati (DPIA, Data Protection Impact Assessment), che deve essere sempre effettuata nell’ambito di un’adeguata attività di Privacy Compliance. In particolare, nell’ipotesi in cui un’azienda utilizzi strumenti o processi legati all’uso di nuove tecnologie, si può presentare un rischio più elevato per il trattamento dei dati con eventuali effetti sull’esercizio di diritti e sulle libertà personali delle persone fisiche.

L’analisi suddetta richiede, infatti, una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, una valutazione della necessità e proporzionalità del trattamento dei dati in relazione alle finalità, una valutazione dei rischi per i diritti e le libertà degli interessati e l’indicazione delle misure di sicurezza previste o da introdurre per limitare o eliminare i rischi.
La presenza di tale valutazione, dunque, concorre a rendere più sicuri i modelli di gestione aziendale in ordine al trattamento dei dati e ciò non può che tradursi, appunto, in una maggior affidabilità dell’azienda nei rapporti con gli interessati ed i potenziali clienti.

Questi sono solo alcuni esempi di come la Privacy Compliance può essere vista come strumento per rendere più qualitativi i vari processi aziendali, migliorandone i profili organizzativi, incentivandone un rinnovato assetto e guadagnando maggior trasparenza.
Tuttavia, al fine di delineare compiutamente la tematica che qui ci occupa, un ulteriore sguardo può essere rivolto al c.d. “Principio di Accountability”, che possiamo tradurre con il concetto di “responsabilizzazione”.

Il GDPR, infatti, nell’introdurre tale importante novità come perno centrale di tutta la normativa e rispetto alla quale tutti i nuovi adempimenti previsti ne sono una declinazione, dispone che il Responsabile del trattamento adotti politiche ed attui misure adeguate a garantire che il trattamento dei dati personali avvenga in modo conforme al Regolamento stesso.

Tale principio richiede, dunque, di essere in grado di dimostrare che sia stato attuato un corretto utilizzo delle risorse e dei risultati in linea con l’ambito e le modalità del trattamento dei dati personali, ma anche di introdurre meccanismi di maggior responsabilizzazione interna alle aziende nell’impiego di tali risorse. In altre parole, per il GDPR deve essere dimostrata l’applicazione concreta degli adempimenti e non il solo rispetto formale ed, a tal fine, non è sufficiente aver adempiuto a quanto dallo stesso richiesto, ma occorre anche essere in grado di dimostrarlo.
—————-

Articolo 24
Responsabilità del titolare del trattamento
1.   Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.
2.   Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.
3.   L’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.

Conseguentemente, l’Accountability stimola importanti aspetti aziendali tra i quali l’affidabilità e l’efficienza dei suoi processi. Infatti, tale responsabilizzazione si atteggia in maniera dinamica dal momento che coinvolge tutti soggetti che svolgono una funzione nel processo di trattamento dei dati personali degli interessati, ma anche in quanto impone un sistema di controlli che parte da una compliance preventiva per poi svilupparsi in itinere, richiedendo una costante integrazione ed un continuo aggiornamento.

Più precisamente, il Regolamento de quo richiede la predisposizione, fin dall’inizio, di quelle garanzie indispensabili per tutelare gli interessati che comunicano i propri dati personali, tenendo altresì conto dell’ambito in cui il trattamento dei dati si colloca e dei rischi connessi; tale analisi deve avvenire preliminarmente, ma deve permanere anche nelle fasi successive del trattamento stesso: adempimenti che il GDPR riconduce ai concetti di “privacy by default” e “privacy by design”.

In conclusione, la Privacy Compliance, alla luce degli adempimenti che richiede, può assurgere anche ad indicatore della qualità dei processi aziendali e può quindi costituire un buon punto di partenza per le aziende al fine di migliorarne l’efficienza e la produttività, oltre a costituire uno strumento per implementare le proprie performance in termini di elevati standard di processo e di crescita della propria affidabilità.

Avv. Lisa Iozzelli