Essere in linea con le richieste del GDPR e garantire il soddisfacimento dei diritti alla protezione del dato personale (link ad altro articolo) richiede un processo di adeguamento strutturato.

Da cosa iniziare?

Non basta adottare misure genericamente intese a proteggere le reti informatiche e a salvaguardare la correttezza degli interventi del personale sui dati, come accadeva in passato.

Una componente fondamentale del GDPR, infatti, è il principio che prevede la cosidetta “privacy by design”, ovvero un livello di protezione dei dati che viene garantito sin dalla protezione del modo con cui i dati stessi sono stoccati e trattati.

Sarà quindi necessario che ogni funzione aziendale si soffermi ad analizzare sul come vengono raccolti i dati nei diversi processi che la riguardano.

In linea generale le fasi da affrontare per iniziare il processo di adeguamento al GDPR si possono elencare in questo modo.

  1. Informarsi adeguatamente circa il contenuto del GDPR,
  2. Effettuare una comunicazione aziendale che consenta di informare i responsabili toccati dal processo,
  3. Raccogliere informazioni circa la mappatura dei dati presenti in azienda e sulle procedure in uso per raccoglierli, conservarli e trattarli,
  4. Analizzare il rischio connesso alla protezione dei dati,
  5. Determinare quali dati si intendano mantenere,
  6. Identificare e mettere in atto le contromisure di sicurezza necessarie,
  7. Disegnare i nuovi processi di gestione del dato e adottare gli strumenti necessari per la loro gestione,
  8. Stabilire le procedure di mantenimento della situazione di adeguamento.

Questi i passi strettamente necessari per una procedura minima di adeguamento.

E’ da intendersi che il disegno dei processi di gestione avrà riguardo non solo alle procedure di tipo tecnico / informatico. L’impatto del GDPR, infatti, rileva dal punto di vista di tutti i punti di contatto con i dati personali. Pertanto saranno da analizzare tutti i processi aziendali per disegnare le nuove attività con riguardo alle attività di:

  • Selezione e gestione del Personale
  • Marketing, con particolare attenzione alle tematiche di Marketing Digitale in cui i dati spesso vengono raccolti anche senza quasi accorgersene (dal sito web, da Google Analytics, …),
  • Vendita, che comprende ad esempio attività di raccolta dati su potenziali clienti,
  • Produzione, che comprende processi in cui gli operatori agiscono con il loro nome in azienda e al di fuori,
  • Tutti gli altri processi che possono implicare la raccolta di dati ed il loro trattamento.