Quando entra in vigore una nuova normativa, il primo argomento per applicarla è quello del dovere, il rispetto della legge. Date certe condizioni, per esempio il numero minimo dei 50 dipendenti per il whistleblowing, si andrà ad applicarla, alcuni si limitano al minimo normativo, altri invece abbracciano con maggiore entusiasmo le nuove regole, anche perché ne comprendono o ne intravvedono un maggior numero di vantaggi, oltre quelli di non essere sanzionati.
Ma quale vantaggio, oltre il prestigio che la legalità può offrire, possono avere le imprese italiane nel rispettare il GDPR?
Alcune riflessioni possono essere orientate sul valore dell’impresa stessa, nel campo delle competenze e delle professionalità che possono essere sviluppate nell’organizzazione.
Indice degli argomenti
GDPR, le norme per il titolare e il responsabile del trattamento dei dati personali
Come sappiamo il GDPR impone una serie di principi e norme che il titolare e il responsabile del trattamento dei dati personali devono rispettare. Se consideriamo che questi sono comunque e anche datore di lavoro, altro attributo per indicare un imprenditore, possiamo osservare che alcune di queste norme incidono più di altre, sempre presenti nel GDPR, sul valore della azienda.
Il combinato della Privacy by Design (art. 25 del GDPR) con l’obbligo di definire misure di sicurezza tecniche e organizzative adeguate (art. 32 del GDPR) e il Provvedimento del Garante del 2007-2008 sull’Amministratore di Sistema, consente di fare alcune riflessioni sull’impatto che queste possono avere sul valore della impresa.
L’imprenditore nelle vesti di titolare e il responsabile del trattamento dei dati personali deve quindi pianificare una organizzazione in grado di trattare i dati personali in modo sicuro. Per farlo si ipotizza che dovrà:
– fare una valutazione delle competenze dei dipendenti, considerando che dovrà anche ogni anno fare una valutazione delle attività degli Amministratori di Sistema, col fine, ovvio, di verificare quale siano le esigenze future;
– predisporre un piano di formazione per colmare le eventuali lacune tecniche che possano essere emerse durante l’anno passato, ma anche per rispondere alle nuove esigenze del mercato, sia in termini di sicurezza informatica che per il normale principio di innovazione a cui soggette le imprese per non chiudere.
Un aspetto rilevante è che qualsiasi impresa che abbia una minima attenzione sul proprio valore, ma anche sulla sua capacità produttiva dovrà svolgere periodiche valutazioni delle competenze, sia proprie sia dei suoi fornitori principali per determinare la capacità produttiva e soprattutto la risposta al cambiamento del mercato.
Sicurezza informatica e protezione dei dati
La normativa privacy sotto questo aspetto, imponendo una serie di interventi obbligatori, costringe le imprese a prendere atto delle proprie competenze in materia di sicurezza informatica e protezione dei dati personali per essere conforme ad alcuni principi come quello principale della accountability.
Il fatto che le misure di sicurezza tecniche e organizzative debbano essere “adeguate” costringe l’impresa a capire se è in grado di rispettare quel livello, sia con risorse proprie che con risorse esterne.
Il Considerando 83, collegato all’art. 32 del GDPR, afferma:
Per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura. Tali misure dovrebbero assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere. Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale.
Competenze e conoscenze specialistiche
Il GDPR quando parla di competenze e competenza, professionalità, conoscenze specialistiche si riferisce sempre al DPO o alle autorità nazionali, ma è evidente che parole come “istruzioni” o “misure” che il titolare e il responsabile devono adottare e trasmettere ai loro incaricati (designati) implicano che si sia capaci o che si sia messi in grado di farlo o di esserlo.
In materia però ci viene incontro il Considerando 81 che sulla scelta del titolare di un responsabile del trattamento afferma:
Per garantire che siano rispettate le prescrizioni del presente regolamento riguardo al trattamento che il responsabile del trattamento deve eseguire per conto del titolare del trattamento, quando affida delle attività di trattamento a un responsabile del trattamento il titolare del trattamento dovrebbe ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, anche per la sicurezza del trattamento.
L’espressione “conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative” consente di sottolineare come la conoscenza non sia un atto statico, ma dinamico, soprattutto in contesti innovativi e soggetti a cambiamenti costanti, come quello informatico e in particolare della sicurezza informatica.
Ma se una impresa potenzia le proprie “conoscenze specialistiche” non aumenta il proprio valore? Non acquisisce sul mercato una maggiore capacità o forza competitiva rispetto ai concorrenti?
La risposta non può che essere positiva visto i costanti investimenti sulla formazione nei piani di Industria 4.0 e del credito di imposta dei recenti governi, così come alcuni principi legati alla Learning organization, cioè un’azienda che facilita l’apprendimento dei suoi dipendenti e si trasforma continuamente.
Conclusioni
Si potrebbe dire, in sintesi, che una impresa che persegue i principi del GDPR di fatto sviluppa un percorso di potenziamento del valore di sé stessa.
Un monitoraggio annuale del valore delle competenze, anche in materia di protezione dei dati personali, potrebbe aiutare a comprendere il valore economico ante e post applicazione e gestione della Data protection.
Si tratta di fatto di pensare l’applicazione delle norme più come un vantaggio che un balzello, anche quando si preoccupano di tutelare i nostri diritti.
@RIPRODUZIONE RISERVATA
