Adottare un sistema per limitare l’accesso ai dati all’interno dei sistemi aziendali, oltre ad essere uno dei metodi per adeguarsi al GDPR, potrebbe rappresentare anche un valido strumento per migliorare l’organizzazione aziendale rendendo alcune procedure più snelle ed eliminare dati e lavorazioni inutili. Allo stesso modo può essere utile anche per responsabilizzare il personale, richiamandolo ai propri doveri la cui violazione costituisce illecito disciplinare.

Molte aziende che si sentono semplicemente “costrette” ad adottare il GDPR continuano a vederlo solo ed esclusivamente come costo ed aggravio di attività, ma dimenticano come la necessaria fase prodromica alla sua applicazione può essere invece utilizzata per sfrondare una serie di elementi inutilmente conservati e considerare come un minor flusso di dati ad una cerchia più ristretta di persone possa accelerare i processi gestionali. In tal senso, creare un processo gestionale interno in grado di contemperare le esigenze di accesso ai dati ed i rischi in cui può incorrere l’azienda, potrebbe risolversi anche in un taglio di costi.

Ogni imprenditore, infatti, dovrebbe chiedersi quali siano i dati indispensabili per la propria organizzazione e chi debba accedervi, predisponendo sulla base di queste valutazioni gli strumenti informatici e documentali per garantire la sicurezza sia dei dati sia delle procedure interne. Procedure che devono rispettare, non dimentichiamolo, i principi della privacy by design e by default che stanno alla base del GDPR, vale a dire due canoni di comportamento sufficientemente ampi da permettere ad ogni impresa e professionista la massima discrezionalità nello scegliere le soluzioni da adottare purché efficaci rispetto al singolo contesto da proteggere.

Tenendo quindi presente che i dati lecitamente e legittimamente raccolti possono essere trattati solo dalle divisioni interne che li necessitano e dal personale in tal senso autorizzato e formato, ecco che si presenta la possibilità di individuare dati inutili e prevedere forme di accesso limitate con credenziali che, ad esempio, debbano essere periodicamente rinnovate e non comunicate. Si tratta dell’applicazione, in concreto, del principio di minimizzazione che troppo spesso, insieme a quello della riservatezza, sembra essere dimenticato; si pensi soltanto a siti internet che richiedono, per proseguire la navigazione o avere informazioni, che l’utente debba inviare sia la mail sia il cellulare, dati che dopo vengono utilizzati anche per inviare newsletter o offerte. Per non parlare dell’accesso ai dati sensibili; su questi vengono alla mente recenti episodi che hanno visto sanzioni nei confronti di aziende sanitarie e ci chiediamo se, ad esempio, il personale amministrativo debba avere accesso ai dati clinici. Alcuni centri sanitari svedesi sono stati sanzionati per omissioni dell’analisi delle limitazioni di accesso ai dati.

L’accesso non autorizzato ai dati anche da parte di personale del Titolare, laddove non necessario, è considerato data breach anche se avvenisse in maniera accidentale e, non dimentichiamo, oltre il 30% delle violazioni al GDPR all’interno di un’azienda dipende da cause interne e le disattenzioni o mancanza di osservanza delle istruzioni è una delle cause principali.

Adeguarsi al GDPR, quindi, ben può voler dire non solo adempiere ad un obbligo normativo ed evitare pesanti sanzioni e ulteriori costi, ma potrebbe anche dimostrarsi un valido strumento migliorativo dell’organizzazione aziendale.