Per molte aziende il nuovo Regolamento Europeo rappresenta solo una grande seccatura di cui doversi necessariamente occupare. Eppure quando si tratta del nostro smartphone, dell'automobile o degli elettrodomestici che abbiamo in casa non temiamo di dover fare la manutenzione che serve per garantirne le migliori condizioni. E tanto il controllo dei freni ci permette di guidare in sicurezza, quanto il GDPR eviterà al nostro business di andare incontro a brutte conseguenze, come multe e sanzioni.
La nuova normativa per la tutela dei dati personali nasce per offrire degli standard diffusi e riconosciuti e per rafforzare i diritti e le libertà legate alle informazioni che ci riguardano. Non si tratta di un salto nel buio né di un primo punto di partenza visto che ogni Paese ha già una serie di normative per la protezione dei dati, come la famosa 196/2003 in Italia (da non dimenticare). Il Regolamento EU 679/2016 arriva per uniformare e creare armonia a livello europeo.
Il ciclo di vita dei dati personali
Il nuovo Regolamento Europeo introduce tra le righe il concetto di privacy by design. Questo approccio pone al centro di tutto il ciclo di vita dell’informazione: quali dati è davvero necessario raccogliere? in che modo? e cosa posso farci? Si tratta di mettere in moto un processo logico che permetta di proteggere i dati in maniera efficiente.
La raccolta del dato
Se fino a oggi ogni organizzazione era portata a raccogliere dati solo perché era possibile farlo, dal 25 maggio 2018 è diventato importante raccogliere dati di qualità: per farlo sarà fondamentale definire da subito lo scopo della raccolta e scoprire quali dati possano diventare critici per, ad esempio, le attività di marketing. L’acquisizione di un dato passa attraverso il consenso dell’interessato che deve conoscere che utilizzo verrà fatto con quella informazione: tutti questi passaggi hanno un costo se svolto correttamente, ecco perché diventerà sempre più importante raccogliere solo i dati effettivamente necessari.
Archiviazione e protezione
Un passaggio fondamentale per ogni organizzazione sarà quello di definire dove e per quanto tempo conservare i dati raccolti, operazione che le tecnologie in cloud rendono comoda ma più complicata. La delega esterna può essere una buona soluzione ma resta il fatto che sarà possibile delegare solo l’archiviazione e non la responsabilità sui dati personali gestiti e sulla loro sicurezza.
Accesso e utilizzo
Le aziende utilizzano i dati e questo è chiaro. Ma quali parti del dato? E quali settori aziendali lo utilizzano? Determinare i diritti di accesso aiuterà le strutture composte da diversi compartimenti (amministrazione, marketing, vendite, customer service, risorse umane e via dicendo) ad assegnare a ciascun dipendente i processi di responsabilità in base alla loro possibilità di accedere ai dati e di utilizzarli. Chi e cosa fa, insomma. Tutte informazioni che sono contenute nel registro dei trattamenti.
La cancellazione dei dati
Non sempre buttare nel cestino un documento e cancellarlo significa davvero essersene liberati. È importante ricordare che ovunque possono essere memorizzate informazioni personali e perciò il grado di controllo dovrà essere sempre alto. Se fornitori terzi sono coinvolti, allora la gestione proattiva dell’ambiente dati dovrà essere ancora più precisa ricordando sempre che la cancellazione dei dati è un diritto fondamentale previsto anche dal GDPR.