articolo dell’avvocato Valentina Giordano
L’adozione di un sistema di gestione privacy aziendale è un argomento di ampio respiro, divenuto dirompente all’indomani dell’introduzione nel nostro ordinamento del Regolamento GDPR 2016/679 e dei numerosi provvedimenti emanati dall’Autorità Garante per la Protezione dei dati in questi ultimi anni.
Ormai sempre più aziende decidono di adeguarsi al GDRP e di adottare un vero e proprio Sistema di Gestione per la Protezione dei Dati personali (anche “SGPDP”), che possa rispondere alle diverse esigenze aziendali e garantire un’adeguata protezione dei dati sensibili di dipendenti, clienti e terzi che entrano in contatto, quotidianamente, con la realtà aziendale.
Per sistema di gestione si intende quell’insieme di procedure, sistemi informativi e informatici finalizzati a definire e determinare obiettivi, processi e politiche applicabili in azienda, con un approccio programmatico volto a migliorare le performance e i risultati. Il sistema di gestione fa proprio l’approccio per processi ovvero quel metodo di osservazione, analisi, descrizione e regolazione della realtà organizzativa che ha come oggetto tutti i processi dell’organizzazione aziendale.
L’approccio per processi incorpora tanto il “Ciclo di Deming” che il “Risk-based thinking”.
Il primo si presta a descrivere in modo sintetico ed efficacie il funzionamento e il significato di un sistema di gestione; articolandosi nella sequenza “Plan, Do, Check, Act” (anche P.D.C.A.) per cui l’organizzazione osserva nei suoi processi fondamentali le seguenti quattro fasi: pianificazione, esecuzione, verifica e correzione. Applicando tale processo si riesce a controllare l’organizzazione e ad orientare i processi aziendali verso un continuo miglioramento.
Il secondo concetto implica un processo gestionale basato sul rischio in quanto impone all’organizzazione aziendale di esaminare il contesto esterno ed interno in cui si opera al fine di valutare il rischio e prevenire gli eventi indesiderati.
È chiaro che un sistema di gestione così inteso non può non considerare le novità normative in materia di privacy in quanto l’insieme di principi, obiettivi, prescrizioni e procedure devono essere finalizzati anche a garantire la sicurezza dei dati sensibili delle persone fisiche, i quali divengono parte integrante dei processi e della struttura gestionale.
La sicurezza dei dati e dei trattamenti entra nell’organizzazione aziendale sin dalla progettazione dei processi, dei sistemi informativi e dei controlli, assurge a criterio intrinseco e dinamico dello svolgimento delle attività, imponendo un monitoraggio e una valutazione periodici dei risultati raggiunti.
Ne deriva che l’adozione di un sistema di gestione privacy adeguato in azienda produrrà due vantaggi:
- garantire un controllo dell’organizzazione sotto il profilo della attività di trattamento dei dati personali;
- orientare l’organizzazione verso il miglioramento continuo della sicurezza dei dati e dei trattamenti.
Del resto, l’importanza e le potenzialità del sistema di gestione sono talmente rilevanti che stesso il GDPR ne suggerisce l’adozione in diverse disposizioni. Si pensi all’obbligo di mettere in atto misure tecniche ed organizzative adeguate per garantire un livello di sicurezza proporzionato al rischio (ex art. 32 del GDPR) oppure all’obbligo di effettuare una valutazione di impatto prima di iniziare un trattamento dei dati personali che può presentare un rischio elevato per i diritti e le libertà delle persone fisiche (ex art. 35 GDPR).
Appare chiaro che essendo il sistema di gestione un fattore di dinamicità, consapevolezza e controllo dell’organizzazione, esso è fisiologicamente destinato alla revisione, la quale si rende necessaria in tutte le ipotesi di cambiamenti legislativi, mutamenti nell’organizzazione aziendale, eventi che costituiscono violazioni o data breach.
In tutte queste ipotesi la “tenuta” del sistema di gestione privacy deve essere riesaminata e messa in discussione all’interno dell’azienda, al fine di poter inserire e potenziare misure utili per salvaguardarne la portata e gli standard qualitativi, quasi configurandosi come un Modello di Organizzazione e Gestione ex d.lgs. 231/2001.
Nell’impostare il sistema di gestione privacy non solo devono essere rispettati i principi esistenti in azienda ma, altresì, questi devono essere coniugati con il principio di “accountability” previsto dal GDPR.
In virtù di tale principio, il sistema privacy adottato dall’azienda dovrà rispondere ad alcune regole:
- programmare ed eseguire obblighi, misure e adempimenti in conformità alla normativa vigente;
- documentare la conformità alla normativa;
- curare il flusso informativo nei confronti dell’Autorità di controllo (ed eventualmente degli stakeholders).
Un sistema privacy che tenga conto di tali regole non solo risulterà più confacente alla realtà normativa ma, altresì, si evolverà in base alle esigenze aziendali, in modo tale da evitare (o almeno mitigare) l’eventuale potere sanzionatorio comminato dall’Autorità Garante per la protezione dei dati personali.
Nel corso degli anni abbiamo avuto la fiducia di tante aziende italiane ed europee che hanno deciso di affidarsi a noi per rimodernare il proprio sistema privacy al fine di potenziare la loro realtà e garantire elevati standard di sicurezza. Se desideri saperne di più e avere un team di esperti per assisterti, siamo qui per te, contattaci.
