Il nuovo regolamento europeo sulla protezione dei dati personali
Il nuovo regolamento europeo sulla protezione dei dati personali, entrato in vigore il 25 maggio 2016, diverrà applicabile dal 25 maggio del 2018. Sostituirà così la Direttiva 95/46 e le normative nazionali, tra cui il codice 196/2003 italiano.
Le caratteristiche salienti di questo regolamento evidenziano nuove modalità organizzative all’interno delle aziende che possano consentire di cogliere opportunità di business nient’affatto trascurabili e questo malgrado siano previsti sensibili inasprimenti delle sanzioni che possono giungere sino al 4% del fatturato mondiale anno di gruppo dell’esercizio precedente.
L’aspetto caratterizzante questa normativa consiste nel passaggio da una previsione di protezione minima dei dati memorizzati e gestiti all’interno delle aziende, che nella normativa originale del ’96, dopo un primo periodo di obbligatorietà a compilare annualmente un documento programmatico sulle misure di sicurezza logica e fisica dei dati, da far approvare al board aziendale, ne aveva sancito la cancellazione, su pressione delle diverse rappresentanze imprenditoriali. Il rispetto della privacy, che prevedeva l’adozione di misure definite sufficienti col termine “misure minime” di sicurezza, si era così declassato ad un livello di privacy piuttosto formale.
Ora invece le imprese, per adempiere completamente alle previsioni del nuovo regolamento europeo, debbono affrontare in termini sostanziali una serie di attività atte a riorganizzare la detenzione e il trattamento dei dati personali in modo organico e responsabile; sarà necessario revisionare tutto il processo organizzativo ed elaborativo della raccolta, del trattamento, della trasmissione delle informazioni relative alla clientela con un’ottica non più di tipo minimalista ma orientata all’adozione del massimo possibile delle misure di protezione. Si dovrà mettere in campo un’attività di revisione critica dei processi con particolare attenzione alla loro valutazione e alla bonifica dei punti critici. Una particolare attenzione andrà posta alla gestione dei consensi espressi dalla clientela nei confronti del trattamento dei loro dati e non dovrà essere in alcun modo trascurata un’attività di formazione specifica sulla materia di privacy nei confronti del personale.
Attraverso queste azioni di revisione critica e miglioramento, anche mediante metodologie di assessment e redemption condotte ciclicamente, le imprese potranno migliorare la qualità dei loro processi di lavorazione, la precisione delle informazioni raccolte e trattate, il livello di protezione e riservatezza delle stesse.
Non si tratta soltanto di proteggersi da rischiosità di sanzioni onerose ma anche e soprattutto di trarre vantaggio da una evoluzione dei processi verso soluzioni più efficienti, meno onerose e di maggiore qualità.
E’ quella introdotta dal nuovo regolamento europeo sulla protezione dei dati personali una opportunità da non trascurare ma, anzi, da cogliere appieno con la giusta attenzione.