COME GESTIRE IL RISCHIO PRIVACY: UN RISCHIO TRIDIMENSIONALE

come gestire il rischio privacy
In questo articolo si spiega il nuovo approccio di gestione del rischio, alla luce del nuovo Regolamento Europeo sulla protezione dei dati personali

Il Regolamento Europeo sul trattamento dei dati personali (GDPR) impone all’imprenditore un cambio di mentalità sul tema della privacy.
La materia dei dati personali e del loro trattamento è stata fino ad oggi affrontata – dalla gran parte delle aziende – con un approccio molto formale.

Il disbrigo della “pratica privacy” spesso si riduceva a qualche foglio di informativa da rilasciare ai propri dipendenti, clienti e fornitori, oltre all’espletamento di alcuni adempimenti percepiti da imprese ed operatori come una serie di oneri burocratici aggiuntivi a quelli già esistenti.

UN NUOVA APPROCCIO ORIENTATO ALLA GESTIONE DEL RISCHIO.

Da ora in avanti un tale approccio non consentirà più a quelle stesse aziende di risultare conformi alla nuova normativa.
E
questo certamente ha un peso, tenuto conto delle rilevanti sanzioni previste dall’art. 83 del Regolamento Europeo.

Cosa fare allora?
In cinque parole: si deve gestire un rischio.

Trattare i dati personali è proprio questo; significa gestire un rischio, nello specifico il rischio che il trattamento effettuato dall’impresa possa incidere negativamente nella sfera individuale del soggetto interessato al trattamento.

Il tema è molto serio, perchè la sfera soggettiva di un individuo comprende diritti e libertà costituzionalmente garantiti.
Il riferimento non è soltanto al diritto alla protezione dei dati e alla vita privata, ma include anche altri diritti fondamentali: tra gli altri, la libertà di parola e di pensiero, il divieto di discriminazione, il diritto alla libertà di coscienza e di religione.

UN RISCHIO DA ANALIZZARE, STIMARE E ATTENUARE RISPETTO AD OGNI PROCESSO PRODUTTIVO.

Occorre quindi attuare misure tecniche e organizzative tali da evitare che i diritti e le libertà delle persone fisiche siano oggetto di violazioni.
Per fare questo è chiaro che l’azienda non potrà più ridurre il tema del trattamento dei dati personali ad una mera formalità burocratica; anzi, dovrà investire tempo e risorse perchè esso diventi uno dei pilastri su cui fondare il proprio business.

Insomma, la privacy entra di diritto nei “meccanismi di impresa”, proprio perchè il nuovo Regolamento collega il tema della protezione dei dati personali ad un concetto tipicamente di impresa, che è quello della gestione del rischio.

LE TRE PROSPETTIVE DI RISCHIO CONESSE AL TRATTAMENTO DEI DATI.

Vediamo allora quali sono i rischi connessi al trattamento dei dati personali.

  1. RISCHIO DI NON ESSERE CONFORMI AL GDPR E RISCHIO DI NON ESSERE IN GRADO DI DIMOSTRARE LA CONFORMITA’: non è sufficiente rispettare le norme del Regolamente europeo, occorre anche dimostrare tale conformità (c.d. compliance). Quest’ultimo aspetto risulta decisivo in caso di controlli dell’autorità preposta (Guardia di Finanza), al fine di evitare possibili sanzioni.
    Esempio: decido di effettuare un’attività di raccolta dati fra il pubblico per finalità di marketing, all’uopo richiedendo correttamente il loro consenso, ma durante un controllo dell’autorità non riesco a dimostrare che quello stesso consenso sia stato prestato dall’interessato in modo libero ed informato.
    In questo senso sarebbe utile dimostrare di aver istruito il personale incaricato alla raccolta dei dati mediante corsi di formazione; che, pertanto, trattasi di personale preparato, in grado di spegare al pubblico quali sono le finalità del trattamento da parte dell’azienda rispetto ai dati consensati; e che quindi gli interessati hanno prestato liberamento il loro consenso, in quanto previamente informati del modo in cui i loro dati sarebbero stati trattati.
  2. RISCHIO RISPETTO ALL’INTERESSATO: Come già anticipato, occorre sempre chiedersi, in via preventiva, quale sia l’impatto dell’attività di trattamento dei dati sui diritti e sulle libertà delle persone.
    Esempio: si pensi ad un’impresa di biotecnologie che offre test genetici direttamente ai consumatori, inviando loro informazioni ultra sensibili circa lo stato di salute. In questo caso l’azienda deve predisporre tutte le cautele necessarie a proteggere quelle informazioni, ad esempio assicurandosi che l’utilizzo dei campioni raccolti per il test genetico sia conforme agli standard richiesti dal regolamento, oppure accertandosi che il sistema di invio telematico di tali informazioni sia messo in sicurezza per evitare qualsiasi divulgazione dei dati a soggetti terzi non autorizzati.
  3. RISCHIO CHE RIGUARDA IL DATO: Molte aziende si soffermano solo su questo aspetto, cioè identificano il rischio privacy con il solo “rischio database”, proteggendo il dato in sè all’interno degli archivi cartacei o telematici.
    Ma non basta, perchè oggi occorre ragionare sul concetto di trattamento del dato, sul suo ciclo vitale: quando il dato entra in azienda, chi lo tratta, chi lo riceve, per quanto tempo viene conservato ecc…
    Esempio: la Banca Alfa adotta elevate misure di sicurezza per proteggere i dati in essa archiviati. Il dato, quindi, si presume sicuro al suo interno. Tuttavia, un attento consulente dovrà chiedersi se la stessa Banca ha predisposto altrettante misure di sicurezza in caso di trasmissione dei dati a soggetti terzi, altrimenti la protezione del dato risulterebbe soltanto parziale.