La privacy nelle aziende (o meglio la protezione dei dati personali), non è una questione che si riduce ad un semplice copia incolla di informative e un antivirus aggiornato: è, anzi, una vera e propria complessa filiera.

Non basta l'antivirus…
Come non cesseremo di ripetere, la privacy all’interno di un’azienda non è una questione che si riduce ad un semplice copia incolla di informative e un antivirus aggiornato sui terminali degli operatori. La privacy è una vera e propria filiera che deve muovere da domande che, se in passato l’imprenditore neppure si poneva, adesso sono veri e propri obblighi per vuole evitare i rischi di pesanti sanzioni e provvedimenti correttivi da parte del Garante.

Ma le pesanti sanzioni emesse in tempi anche recenti dal nostro Garante sembra non siano sufficienti a far capire l’importanza di quello che sta diventando sempre più un elemento essenziale dell’organizzazione di impresa: tra gli elementi attivi e passivi di un’azienda, infatti, non può essere trascurato il rischio di una procedura per le violazioni di norme di legge. Ciò ovviamente vale, non dimentichiamolo, anche per enti pubblici e liberi professionisti.

Il primo passo è capire quali dati tratta l'azienda
È necessario che ogni Titolare di trattamento inizi a porsi domande su quali sono i dati di cui viene in possesso per lo svolgimento della sua attività. Quali sono quelli indispensabili per iniziare? Quali quelli di cui si può venire in possesso in seguito?

Queste domande sono essenziali per predisporre una privacy policy customizzata sulla propria struttura, by design e by default, e che rispetti anzitutto il principio di minimizzazione. Quanti siti web, ancora, troviamo che chiedono mail, cellulare e altri dati per iscriversi a newsletter promozioni magari accettate (o pre-flaggate) in una sola casella?

Per approfondire > Privacy by design e by default, come strumenti dell’organizzazione aziendale

Il secondo passo è capire come sono trattati i dati
Allo stesso modo chi aiuta l’azienda a predisporre il proprio sistema privacy deve conoscere anche le modalità di svolgimento di ogni singola attività. Deve cioè valutare se clienti, dipendenti, fornitori e consulenti possono venire a contatto con dati che potrebbero non solo trattare ma anche trasferire. Un esempio in tal senso può essere quello dei rivenditori di servizi mail o di telefonia che dovrebbero non solo essere nominati responsabili esterni del trattamento dati da parte del loro mandante (l’erogatore del servizio), ma anche da aziende che, per aprire utenze telefoniche o caselle mail, inviano nominativi e, probabilmente, anche documenti dei loro dipendenti.

In concreto…
Conosciamo bene le prassi utilizzate per la conclusione di contratti con un consulente (quasi sempre a propria volta imprenditore o dipendente di una società) che si reca presso un’azienda, fa firmare i contratti e, dopo averli registrati nei propri sistemi li trasferisce a quelli del fornitore. Inoltre esistono anche contratti in cui detto agente opera “in proprio nome e per proprio conto” e non con i poteri di un agente o rappresentante dell’operatore che rappresenta. Non sono semplici sottigliezze giuridiche, ma è il modus operandi di molte grandi aziende del settore comunicazioni; l’esatto equivalente dell’agente di viaggio che fornisce un pacchetto completo. Sotto questo aspetto un imprenditore diligente dovrebbe predisporre le lettere di incarico e, magari, far seguire alle risorse addette corsi di formazione e aggiornamento.

E se chi tratta i dati lavora in smart working?
Non solo: va tenuta in considerazione anche la circostanza che i soggetti che raccolgono accettazioni di contratti e relativi consensi al trattamento dati operano al di fuori della sede aziendale e potrebbero lavorare in smart working. Gli strumenti aziendali (computer, cellulari ecc.) sono inoltre forniti dal datore di lavoro oppure di proprietà del lavoratore? E non dimentichiamo anche la connessione con cui vengono trasmessi i dati. È infatti dovere del Titolare accertarsi che sia protetta e sorgono molti dubbi se, ogni volta che si accede ai database aziendali, i dipendenti si accertino della sicurezza dei sistemi. Il rischio data breach è sempre in agguato.

Basta soluzioni privacy fai-da-te
Questi sono solo alcuni tra le miriadi di esempi che si potrebbero fare e, come si evince, le situazioni da affrontare, possono presentare le più svariate sfaccettature. Ciò che in ogni caso emerge è che le soluzioni privacy fai da te o copia incolla sono veri e propri pericoli che ogni azienda dovrebbe evitare. E' necessario sia compreso il punto: la privacy nelle aziende è una filiera molto complessa che richiede estrema attenzione.