9 maggio 2019
GDPR, adempimenti, controlli, sanzioni: cosa devono fare le imprese per essere in regola con la nuova normativa? L’integrazione con il sistema aziendale
di Fabia De Bono
Come accennato nel contributo precedente, la tutela dei dati personali e della privacy si deve integrare con i processi aziendali, non essendo sufficiente procedere soltanto a livello formale. Ma come si fa ad introdurre la tutela della privacy nella quotidianità dell’impresa? La risposta non è univoca.
Un possibile ed efficacie metodo è quello di applicare alla privacy gli standard ISO; le norme saranno le leggi privacy (Codice Privacy e GDPR) e le conformità alle procedure/istruzioni si verificheranno tramite audit e controlli periodici.
Si dovranno quindi integrare le procedure e le policy già esistenti con la parte relativa alla privacy (si pensi, ad esempio, alle procedure di assunzione e dimissioni, a quelle relative agli accessi ai locali etc.).
Più nel dettaglio si dovranno rivedere le parti relative alla sicurezza dei sistemi informatici, agli accessi alla documentazione aziendale contenente dati personali, le policy dei social media, le procedure sull’uso delle email aziendali e dei dispositivi mobili, i mansionari (per verificare i soggetti incaricati del trattamento).
Sarà inoltre necessario occuparsi in modo stabile e strutturato della formazione del personale, con corsi periodici tenuti da professionisti del settore e con particolare riguardo alle figure chiave che sono più coinvolte nel trattamento dei dati e programmare verifiche annuali dello stato della formazione (audit di prima e/o di seconda parte).
Un altro aspetto fondamentale attiene, poi, ai sistemi di conservazione dei dati.
A tal riguardo sarà opportuno revisionare i dispositivi fisici (armadi chiusi con chiave, archivi ad accesso ristretto, badge per apertura porte) ed informatici (password, firewall, antivirus, accessi riservati, account personali, etc.) e predisporre dei sistemi di archiviazione che limitino al massimo il rischio di perdita dei dati e la violazione della privacy.
Tutto quanto sopra dovrà essere effettuato sfruttando gli standard previsti dalle certificazioni esistenti, tra cui la ISO 9001:2015 (qualità) che è la norma chiave per un sistema integrato di gestione privacy, le linee guida ISO 19011: 2012 (audit), la ISO 27001:2017 (sicurezza dell’informazione) e la ISO 27000:2018 sulla sicurezza informatica.
In conclusione, nonostante sia passato un anno dall’entrata in vigore del GDPR, le aziende sono ancora molto indietro con il processo di adeguamento ai nuovi standard e vi è un sentimento comune e diffuso di assenza di controlli e di sanzioni.
Tuttavia, l’idea che si possa rimanere “impuniti” anche senza aver implementato le nuove norme sulla privacy non si fonda su alcun dato reale ed anzi i primi dati statistici dimostrano il contrario.
Le ispezioni del Garante della Privacy e del Nucleo Speciale Tutela Privacy della Guardia di Finanza controllano, come prima cosa, la corretta stesura delle informative, il metodo di acquisizione del consenso e dei i sistemi di sicurezza adottati per conservare i dati. Tali verifiche sono molto facili da porre in essere dato che si possono effettuare anche a distanza.
Da non sottovalutare, poi, sono le sanzioni possono essere irrogate in caso di difformità. In particolare annoveriamo, in ordine di minore gravità:
- l’ammonimento/richiamo, ossia l’ordine impartito al Titolare di adeguarsi alle norme;
- le sanzioni pecuniarie (che sono proporzionate alla natura, intenzionalità, gravità e durata della violazione, i danni per gli interessati e la natura dei dati oggetto del trattamento);
- le sanzioni penali (che si applicheranno soltanto qualora si configurino dei reati, come ad es. il trattamento illecito dei dati, l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala, falsità nelle dichiarazioni al garante etc.).
Alla luce delle considerazioni sopra esposte, è evidente che una corretta applicazione della normativa in materia di privacy può consistere in un dispendio di risorse notevole, soprattutto nei casi in cui si è da sempre trascurato questo aspetto.
Nelle aziende più attente alla questione della privacy, strutturate e dotate di procedure ed elevati standard, la compliance al GDPR avrà invece un impatto molto limitato.
In ogni caso, è importante che le aziende vedano l’adeguamento alla normativa su privacy e dati personali come un’opportunità, oltre che come mero adempimento normativo.
Implementare le nuove prescrizioni sulla privacy fornisce, infatti, la possibilità di revisionare e/o riorganizzare i dati obsoleti e non archiviati correttamente; aggiornare i sistemi informatici, le procedure e le policy; intraprendere seriamente un percorso di formazione del personale, procedere ad una definizione contrattuale dei rapporti con i fornitori e ridefinire le mansioni e le funzioni dei dipendenti e dei collaboratori.
Insomma, la necessità di adeguare la propria impresa alle nuove normative sulla privacy, può tramutarsi in un’occasione di rinnovamento e aggiornamento dell’azienda con tutto ciò che ne consegue. Quest’opera di ammodernamento della gestione aziendale aggiungerà, infatti, valore all’impresa.
Affinché ciò avvenga correttamente è tuttavia necessario avvalersi di consulenze specializzate che possano coadiuvare l’azienda negli adempimenti formali e in quelli strutturali, che incidono direttamente sull’impianto tecnico-organizzativo dell’impresa.
Avv. Fabia De Bono - Studio Legale Barzanò & Zanardo