Già ci siamo occupati di un aspetto del GDPR che è poco considerato dalle aziende, vale a dire quello di poter divenire un importante strumento dell’organizzazione aziendale. E’ necessario tuttavia, preliminarmente da parte degli imprenditori prendere atto che, in ogni caso, si tratta di un obbligo di legge cui adeguarsi e, sulla base di ciò, adeguarsi ad una normativa vista soltanto come un costo e aggravio di attività burocratiche e amministrative.

Per approfondire >> GDPR come elemento dell’organizzazione aziendale? L’inventario dei dispositivi

Un’adeguata applicazione della norma, infatti, impone un’analisi di tutte le attività aziendali che vengono a contatto con dati personali e, sul punto, è l’occasione per valutare se la quantità e la tipologia di dati trattati siano adeguati e sufficienti ovvero, come possibile, si sia in possesso di elementi inutili ed in eccesso. Il GDPR, ricordiamolo, prevede tra i suoi principi quello di minimizzazione. Potrebbe anche emergere che negli archivi aziendali vengono conservati dati inutili e di troppo. Anche liberare archivi e memorie e potersi dedicare solo ai dati indispensabili, potrebbe già rappresentare un risparmio.

Non è quindi sufficiente, come purtroppo hanno fatto alcune aziende, intasando la posta dei loro clienti e fornitori, inviare documentazione di dubbia utilità oppure esporre informative insufficienti sui loro siti. Il caso più frequente è quello di imbattersi in modelli di informativa redatte sulla base dell’art. 13 D. Lgs. 196/2003 cui viene abbinato l’art. 13 del GDPR, ritenendo che sia sufficiente fare un’integrazione. Ma l’art. 13 della vecchia cosiddetta Legge Privacy è stato abrogato. In quanti se ne sono accorti?

Non solo. Tenuto presente che molte aziende preferiscono affidarsi a società di consulenza esterne specializzate e esperti, i costi di queste attività consulenziali potrebbero subire anche sensibili riduzioni se il lavoro fosse già predisposto e vi fosse consapevolezza dei dati al momento in possesso dell’azienda. Avere immediatamente a disposizione l’intera documentazione, i consensi già ricevuti e i dati, potrebbe snellire il procedimento.

Ai fini del cambio di prospettiva di approccio da parte delle aziende, sarebbe poi opportuno ricordare che i clienti, ovvero gli interessati ai sensi del GDPR, possono diventare per molti i peggiori nemici. Cosa potrebbe accadere se un cliente insoddisfatto o, peggio ancora, un’associazione di categoria, per rivalersi di una prestazione non andata a buon fine o al solo scopo di danneggiare, segnalasse al Garante una violazione? Il GDPR, in tal senso, diventa un’importante forma di profilassi per evitare conseguenze che potrebbero essere catastrofiche.

In ogni caso, l’architettura della protezione non può prescindere dalla conoscenza dei passaggi interni dei dati, dei flussi e delle risorse che dovranno necessariamente venirvi in contatto per il trattamento. E qui si sottolinea che, anche all’interno di un’organizzazione, vige il principio secondo cui i dati non possono essere messi a disposizione di personale che non abbia la necessità di conoscerli o trattarli. Basti pensare agli ospedali sanzionati perché in troppi avevano la disponibilità di accedere alle cartelle cliniche, oltretutto dati sensibili, senza che ve ne fosse ragione alcuna. Un’azienda potrebbe risparmiare passaggi e costi.

Inutile dire che tutto ciò andrà ad agevolare anche l’attività di protezione dei sistemi e dei dispositivi, che vedranno una potenziale riduzione di quanto dovrà essere fatto nelle attività di individuazione e realizzazione degli step successivi. Insomma il GDPR potrebbe rivelarsi una procedura virtuosa per aumentare la produttività e, alla fine, ridurre i costi.