Le modifiche alla disciplina del trattamento dei dati personali sono state diverse e importanti, ma la vera rivoluzione sta nell’introduzione del concetto di rischio e nella nuova cultura della sicurezza, basata appunto sulla consapevolezza del rischio.
Il GDPR, ovvero il Regolamento europeo sulla privacy, ha rivoluzionato il modo con cui le aziende devono affrontare il trattamento dei dati personali. Come è noto, questa normativa non guarda alla privacy nella sua accezione più stretta: si parla infatti della privacy in modo ampio. In un contesto globale in cui le persone sviluppano una sempre maggiore sensibilità rispetto all’attenzione delle aziende per principi etici e morali (es. responsabilità sociale, ecosostenibilità), il GDPR mira alla loro responsabilizzazione nella gestione dei dati trattati e le incoraggia all’adozione di comportamenti proattivi.
Il regolamento lascia un certo grado di autonomia alle organizzazioni nella definizione delle modalità di gestione del rischio e delle informazioni ma prevede, al tempo stesso, una serie di misure che favoriscono una corretta e sicura gestione dei dati personali. L’obiettivo ultimo? Proteggere gli individui, a prescindere dal tipo di rapporto che li lega all’organizzazione (es.: clienti, dipendenti, collaboratori, iscritti newsletter, ecc…), da violazioni e da abusi delle loro informazioni personali. Queste ultime, grazie a questo nuovo regolamento, diventano dei veri e propri beni giuridici che vanno protetti, in quanto lavorare in favore di una gestione responsabile dei dati personali può consolidare la relazione azienda-cliente e influire positivamente sulla brand awareness. Già all’articolo 1 del GDPR, del resto, si legge che il regolamento «protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali».
Ma cosa rende l’impatto del GDPR così forte? Perché l’introduzione di questo regolamento ha fatto tanto scalpore? Di certo le modifiche alla disciplina del trattamento dei dati personali sono state diverse e importanti, e altrettanto lo sono le sanzioni previste in caso di violazioni. La vera rivoluzione, però, sta in realtà nell’introduzione del concetto di rischio.
Il concetto di rischio introdotto dal GDPR
Cosa significa affermare che il Regolamento UE n. 2016/679 ha introdotto il concetto di rischio? Non si tratta ovviamente di un’assoluta novità. Chi opera nel campo della sicurezza informatica conosce molto bene questa parola, e lo stesso si può dire ovviamente a proposito di chi si occupa di risk management. Si parla di rischio in tutti i quei casi in cui esiste una sorgente di pericolo, con delle possibilità concrete che questa si trasformi in un danno. Ed ecco, quindi, che le aziende da sempre tengono in considerazione il rischio, per proteggere il proprio patrimonio, le proprie conoscenze, i propri beni.
Ebbene, con il GDPR il concetto di rischio viene esteso oltre al business dell’azienda, per arrivare alle persone che sono legate all’azienda stessa, vale a dire gli interessati. Il GDPR porta infatti le organizzazioni a considerare rischioso il trattamento dei dati personali per i propri interessati.
La necessità di analizzare e valutare il rischio viene messa nero su bianco dall’articolo 35 del GDPR, dove si legge che «quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali».
Sotto l’etichetta trattamento dei dati confluiscono come è noto tante diverse attività, dalla raccolta dei dati personali fino alla loro conservazione, passando per l’analisi e per l’utilizzo. Prima di effettuare una qualsiasi di queste operazioni, il Titolare del trattamento deve valutare il rischio connesso a tali attività, mettendosi però nei panni di chi è esterno al business, per capire quali potrebbero essere le conseguenze per i diretti interessati di una violazione o di un furto di dati personali. Ed è qui la grande rivoluzione introdotta dal GDPR: il regolamento europeo sulla privacy porta le aziende a dover essere consapevoli del rischio in ambito privacy per gli interessati; i sistemi di sicurezza aziendale, non solo quelli informatici, sono quindi chiamati ad estendere lo sguardo oltre la protezione dell’azienda per andare a proteggere tante altre persone, tutelando i loro diritti.
Il giusto supporto ai Titolari del trattamento dei dati
DPO, consulenti, addetti all’ufficio privacy e, in generale, tutti i professionisti privacy: queste figure sono chiamate a supportare i Titolari del trattamento nel raggiungimento e nel mantenimento della compliance.
Per svolgere al meglio questo compito è possibile utilizzare delle apposite piattaforme per profilare in modo efficace e rapido i propri dipendenti, collaboratori e clienti, nonché per accedere in modo sicuro e semplice all’ambiente di lavoro di ogni singolo cliente.
In questo modo, grazie alla possibilità di collegarsi direttamente in remoto, è possibile soddisfare ogni richiesta – dall’aggiornamento del modello privacy alla ricerca di un’informazione – a distanza e in modo veloce. Il Regolamento europeo sulla privacy ha posto le basi per una nuova cultura della sicurezza basata sulla consapevolezza del rischio: i professionisti devono poter contare sui giusti strumenti per implementare questo nuovo modo di pensare e di agire!
Vuoi saperne di più sulle soluzioni dedicate alla gestione della privacy dei clienti dello Studio?
Scopri GDPR Zucchetti Client Manager
