È quello che dovrebbe essere, o sperabilmente diventare, la protezione dei dati all’interno di un’azienda ma, purtroppo, siamo ben distanti da arrivare a questo risultato.
Non sono solo le sanzioni che vediamo costantemente emettere dal Garante, ma è l’esperienza quotidiana fatta ancora di messaggi invasivi, privacy policy non a norma, telefonate indesiderate da call center o da dischi preregistrati che forniscono informazioni non richieste.
I dati sono solo uno strumento di marketing?
Le aziende continuano a vedere i dati ancora solo come strumento di marketing e insieme di informazioni utili solo a creare offerte migliori o aumentare il proprio pubblico sui social. Niente di più sbagliato sia sotto il punto di vista economico che, adesso più che mai, quello etico. In tal senso la vicenda di Chiara Ferragni che ha perso non pochi follower dovrebbe far riflettere gli imprenditori e le aziende. Al di là della perdita di immagine e visibilità, Chiara Ferragni ha perso anche i dati di contatto di chi prima la seguiva e, probabilmente, si tratta di follower reali e non di bot o like acquistati in blocco, come alcuni fanno.
Il Dato non è soltanto un elemento di contatto del cliente o del follower, ma è un prezioso bene aziendale e come tale deve essere trattato fin dal momento della sua raccolta. Non si tratta soltanto di rispetto del GDPR, ma anche dell’immagine dell’azienda stessa e un elemento di produzione e aumento di redditività.
Per saperne di più > GDPRLab, il GDPR resta un fattore abilitante del business
Gestire i dati oggi, nell’era del GDPR
La gestione dei dati oggi, infatti impone di considerarli alla stregua di un prodotto o di un bene strumentale e quindi considerare anche il loro ciclo di vita.
È pertanto necessario, non solo per adempiere gli obblighi derivanti dal GDPR iniziare a porsi le seguenti domande:
- È necessario raccogliere questi dati?
- È chiaro il motivo per cui abbiamo bisogno dei dati e come intendiamo utilizzarli?
- Questo utilizzo è ragionevole e compatibile con quanto da noi dichiarato all’utente?
- Abbiamo gli strumenti idonei a consentire l’accesso ai dati solo a chi ha una specifica esigenza aziendale per trattarli?
- Abbiamo adottato misure adeguate a mantenerli al sicuro?
- Sappiamo che cosa fare in caso di loro perdita o incidente informatico?
- Abbiamo messo la nostra utenza in grado di fidarsi di noi nel consegnarci i suoi dati?
Infine, una volta che abbiamo ottenuto questi dati, questo breve elenco di domande dovrebbe essere periodicamente ripetuto come un mantra e, costantemente, verificare l’esistenza delle condizioni che avevano portato ad una determinata scelta.
Attenzione anche alla catena di trasferimento dei dati tra aziende
Ma non è più possibile limitarsi a questi controlli che riguardano ciascuna singola azienda, ma iniziare a considerare anche come si comportano altre aziende con cui interagiamo nella loro gestione del trattamento e protezione dati.
Si tratterà quindi di prestare attenzione anche alla catena del trasferimento dei dati con soggetti a cui trasferiamo o ci trasferiscono a loro volta dati. Non solo: è importante anche tenere conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche sia di cybersicurezza sia per la legittimità e la conservazione dei consensi.
Per saperne di più > La filiera della privacy nelle aziende
Non stiamo parlando solo dei fornitori di servizi e prodotti ICT, bensì di tutti i fornitori per i quali un problema legato alla cybersicurezza possa portare ad un incidente ovvero a contestazioni in ordine alla legittimità della documentazione. E nuove sfide sono già alle porte.
La Direttiva NIS2 e le altre norme ad essa collegate (Cyber Resilience Act, Regolamento DORA, Direttiva CER sui soggetti critici, ecc.) bussano alle nostre porte e le date di scadenza si stanno avvicinando.
Siamo pronti?
