Forse è stato l’aumento di attacchi in questo periodo di pandemia: forse è dipeso dalle notizie che, sempre più si diffondono sull’importanza dei dati e le necessità di protezione o, infine, la causa potrebbe essere stata veramente il timore di sanzioni e interventi da parte del Garante Privacy. In ogni caso sembra stiano aumentando le aziende che, finalmente, iniziano a prendere in considerazione il problema della protezione dei dati personali.

Ma da dove iniziare?

E’ necessario premettere, sperando sia chiaro una volta per tutte, che tutte le aziende trattano i dati: da quelli dei clienti e dei fornitori a quelli dei dipendenti, passando anche dagli accessi ai siti e, in non pochi casi, anche i follower sui social, di cui vengono raccolte preferenze e gusti. E tutti questi dati devono essere rigorosamente protetti ai sensi del Regolamento Europeo 679/16. Come è stato argutamente notato, l’unica figura non soggetta al GDPR, è quella di una mamma che sul cellulare ha i numeri dei figli e delle amiche. Chiunque, nell’esercizio di un’attività professionale o imprenditoriale tratti dati, deve adeguarsi.

Quali sono pertanto gli step da porre in essere? Il primo è prendere in esame quali dati sono necessari per lo svolgimento di un’attività e tenere presente che il GDPR, tra i suoi principi essenziali, prevede quello della minimizzazione: in altri termini, i dati non indispensabili non possono essere richiesti. A titolo esemplificativo, per la richiesta di un preventivo su un sito avanzata via mail, richiedere un numero di telefono eccede i termini della norma oltre a rappresentare per l’azienda un dato in più da conservare.

Molti analisti indicano come primo elemento da considerare ai fini della predisposizione di una policy aziendale, quello dell’accountability, cioè l’individuazione delle misure adeguate per gli standard aziendali anche sulla base di una valutazione degli impegni economici e delle possibili prassi da adottare. Ma è intuitivo come ciò non possa essere fatto se prima non viene eseguita un’attenta analisi delle tipologie e quantità di dati necessari all’attività da svolgere. E più che di dati necessari appare opportuno parlare di dati assolutamente indispensabili.

Non deve poi passare inosservato che il GDPR non indica quali siano gli strumenti da adottare per la protezione dei dati: in tutto il testo, ad esempio, non si rinviene la parola password, che è un sistema di protezione minimale che usa chiunque anche per il proprio cellulare. Libertà decisionale assoluta quindi, con i pro e i contro che ne possono derivare. Da queste prime considerazioni potrà essere sviluppato un modello personalizzato di policy che preveda le figure da nominare, le responsabilità di ciascuna e come debbano essere coinvolte le risorse presenti in azienda ed i collaboratori che dovranno venire in contatto con i dati.

A questo punto si potranno prendere in considerazione gli strumenti che dovranno essere utilizzati per le attività di gestione, quelli messi a disposizione dall’azienda stessa e, eventualmente, se prevedere la possibilità per i dipendenti o altre figure di utilizzare dispositivi personali: tablet, computer, cellulari e, specialmente per questi, valutare gli strumenti di protezione più opportuni oltre, ovviamente, a preparare il personale. Solo quando vi sarà contezza di questi elementi si potranno infatti cucire addosso alla struttura aziendale le policy più adatte e responsabilizzare ciascuna delle figure presenti oltre a, ovviamente, valutare la nomina di un Data Protector Officer.

A questo punto potranno essere iniziate le attività per creare la indispensabile modulistica di cui l’azienda dovrà dotarsi specialmente per ottenere i consensi al trattamento dei dati e alla loro conservazione: dal registro dei trattamenti fino alle informative per tutte le categorie di Interessati con cui l’azienda viene in contatto (lettere di incarico, mansionari, procedura in caso di Data Breach ecc...).

Di tutta questa attività di check, sarebbe opportuno mantenere traccia e, possibilmente, le decisioni più importanti come quella di nominare o meno un DPO, dovrebbero essere assunte da un consiglio di amministrazione, ove presente. In tal senso è opportuno ricordare che il DPO, in un’azienda, è figura apicale che non può essere in condizione di conflitto neppure potenziale con il management a difesa della sua indipendenza e autonomia. Si tratta, a ben vedere, di attività che, indipendentemente dal GDPR, ogni azienda dovrebbe comunque porre in essere non solo per la sicurezza di un bene prezioso ed indispensabile per la propria attività quali sono i dati ma anche per ottimizzare la gestione mediante un’archiviazione ottimale. Ricordiamo in tal senso che il Regolamento impone che la documentazione venga aggiornata e tenuta a disposizione in caso di richiesta da parte degli Interessati o del Garante.