Raccolta dati è un termine decisamente generico ed insufficiente per descrivere quella che è una vera e propria catena che deve disciplinare l’intera attività di gestione dei dati che necessitano per il funzionamento di un’azienda e, precisiamo subito, non è a causa del GDPR se quella del trattamento dati si è trasformata in una vera e propria filiera indispensabile per una corretta gestione aziendale.

Sono a dir poco remoti, arcaici addirittura, i tempi in cui era sufficiente registrare fornitori e clienti in archivi cartacei e aggiornarli solo quando indispensabile: oggi i dati non sono soltanto quelli tradizionali che, in ogni caso, sono aumentati per ciascuno dei soggetti dovendo includersi PEC, mail private e aziendali, siti internet e quant’altro necessario. Oggi un database aziendale è formato anche da dati statistici e valutazioni che vanno dalla customer satisfaction alle criticità del post-vendita e non solo. Ovviamente non sono certo questi dati personali da trattare ai sensi del GDPR, ma si tratta comunque di elementi del patrimonio aziendale che devono trovare una loro tutela e protezione e, in tal senso, gli strumenti messi a disposizione da una corretta applicazione del GDPR possono rivelarsi utili.

Venendo comunque alla protezione del dato così come imposto dal regolamento Europeo 679/2016, che ancora in troppi ignorano, l’organizzazione della catena inizia dal momento in cui si debbano scegliere i dati da trattare. Il principio della minimizzazione, infatti, è un parametro che, se da un lato impone dall’altro consente ad un’azienda di evitare un appesantimento dei propri archivi e, conseguentemente, anche abbassare i rischi in casi di perdita dati.

Fin dal momento della raccolta è inoltre possibile individuare i soggetti deputati ad ogni forma di trattamento sia all’interno di un’azienda che da parte di fornitori esterni di servizi quali, ad esempio, il consulente del lavoro per i necessari adempimenti e il commercialista per la contabilità; ciò anche al fine di predisporre informative sufficientemente esaustive e non correre il rischio di omissioni derivanti da frettolosi copia-incolla.

Indispensabile per aziende che hanno più reparti o divisioni valutare a quali consentire l’accesso alle varie tipologie di dati; a molti sfugge che, ad esempio, è inutile per un settore produzione avere a disposizione gli indirizzi dei clienti che servono a chi è incaricato alle spedizioni. Allo stesso modo, nel caso di studi medici e laboratori di analisi è a dir poco inopportuno che la contabilità venga a conoscenza delle patologie dei pazienti o possa accedere ai referti medici. Una corretta gestione di archivi e computer sul punto porterebbe anche ad una limitazione dei rischi in caso di data breach potendo così limitare danni e diffusioni di dati.

Formazione del personale e lettere di incarico diventano ulteriori strumenti essenziali non solo come elemento dell’organizzazione aziendale, ma come mezzi per evitare appesantimenti di dati nei flussi e dispersione delle informazioni che, con un’attenta pianificazione, possono rimanere nella disponibilità solo di chi ha necessità di conoscerle per determinati scopi. Ne guadagnerebbe anche la sicurezza aziendale nel suo complesso.

Un’attenta valutazione dei rischi e una conseguente corretta pianificazione e gestione della Privacy può quindi rivelarsi non il costo temuto che, purtroppo, porta molte aziende a non applicare correttamente il GDPR, bensì un miglioramento della complessiva funzionalità dell’azienda e uno snellimento delle procedure.