GDPR

Soluzioni per HR

GDPR

L’importanza delle Best Practices e degli Strumenti Aziendali

di Dario Cavalli

Sono passati quasi 6 mesi dall’entrata in vigore del famigerato GDPR. Molte aziende si sono sicuramente strutturate per essere, così come si suol dire, compliant rispetto alla normativa. Altre hanno dovuto adeguare la propria struttura ed aggiornarla recependo le (in verità) poche grandi novità. Altre, quelle più lungimiranti, avevano già settato la propria organizzazione sul modello GDPR già prima del fatidico 25 maggio.

Ad oggi è sicuramente presto per tirare le somme e fare i primi bilanci dell’impatto che questo Regolamento ha avuto nella cultura aziendale; ci vorranno altri mesi per capire se e come il GDPR è riuscito ad centrare il suo principale obbiettivo, ossia quello di creare la cultura della privacy e far in modo che questa venga vista dal Titolare non come una mera attività di ufficio da assegnare allo stagista del momento, ma come uno strumento da armonizzare e da integrare in tutti gli aspetti della vita aziendale

Dall’altro lato però è sicuramente plausibile poter fare alcune riflessioni circa le modalità e gli strumenti con cui attuare i principi di questa normativa.

Senza soffermarsi sul mero contenuto giuridico (per i quali basta semplicemente leggere il codice privacy di cui al DLgs 18/2018), è più che altro utile capire se vi sono determinate prassi da mettere in piedi per recepire ed attuare meglio i contenuti del GDPR.

In poche parole sono le cd Best Practices che possono fare la differenza.

Analizzando la privacy da questo particolare punto di vista, ci si rende conto di come il principio di privacy by design sia proprio il collante che lega il concetto di privacy alla bios dell’azienda nei suoi aspetti più quotidiani e intimi, e ci mostri come il semplice utilizzo di elementari strumenti possa essere straordinariamente d’aiuto.

Tra questi strumenti ve ne sono tre che reputo fondamentali per attuare al meglio il GPDR.

Intranet aziendale

La intranet è lo specchio dell’azienda, è lo strumento di contatto diretto tra dipendente ed società.

Le intranet tecnologicamente più avanzate hanno anche il grosso vantaggio di poter essere raggiungibili ovunque e in qualsiasi momento.

Creare una Sezione Privacy anche sulla intranet (e non solo sul website) ove far confluire tutta la documentazione sulla tematica è senza dubbio un modo efficace per diffonderne i contenuti e per approcciare i dipendenti all’argomento.

Oltremodo è un ottimo strumento di pubblicità e trasparenza che denota, tra l’altro, anche una sensibilità particolare del Titolare.

Ma non solo: oltre che essere un bel biglietto da visita, è anche un modo sicuro ed efficace per rendere fruibile a pieno la visione di determinati documenti. Pensate solo un attiamo al Registro delle attività di trattamento: metterlo sulla intranet vorrebbe dire non solo renderlo accessibile a tutti (criterio di trasparenza) ma ci eviterebbe anche di dover fare e rifare di continuo lettere di nomina (a responsabile o persona autorizzata) ogni qualvolta il destinatario di un una nomina cambi mansione.

In tal caso un semplice richiamo inziale al Registro pubblicato sulla intranet aziendale ci risparmierebbe un sacco di lavoro e ci esporrebbe meno ad errori.

Formazione

Chi pensa che il dipendente prenda coscienza della privacy solo perché gli è stata consegnata una nomina, fa l’errore più grande che si possa commettere.  Come già sottolineato prima, l’obbiettivo non è quello di “smarcare” determinate azioni, ma è quello di creare nel dipendente una consapevolezza del fenomeno e un padronanza responsabile della tematica (cd principio di accountability seppur in forma estesa).

Per questa ragione la formazione è uno strumento fondamentale per avere dipendenti che sappiano calare nel proprio quotidiano i principi del GDPR.

La formazione non deve essere un excursus tedioso di natura giuridica: ad un dipendente che lavora in Amministrazione o negli Acquisti non interessa per nulla sapere come deve essere fatto il Registro delle attività di trattamento oppure essere informato su quando scatta l’obbligo di nomina del DPO. Interessa piuttosto sapere quali sono i comportamenti e gli atteggiamenti (le best practices di cui prima) da mantenere ogni giorno durante il proprio lavoro: bloccare il PC quando si esce, non diffondere stati di salute via mail, non lasciare incustoditi armardi, criptare la posta, etc….

E’ per questo che è strettamente importante che chi fa formazione debba avere non solo una buona conoscenza delle regole, ma anche una buona conoscenze dei meccanismi quotidiani aziendali per evitare di trasformare l’aula in una platea di colleghi annoiati ed infastiditi dal tema.

Organigramma

Al pari del classico organigramma aziendale, anche l’organigramma sulla privacy si rivela uno strumento utile per lo meno a capire come viene strutturata l’azienda sul tema.

Tale organigramma che non deve essere, ovviamente, speculare a quello organizzativo essendo diverse le finalità, deve contenere il nome del DPO e il nome dei referenti (ved Responsabili interni). Relativamente a questi ultimi è possibile anche pubblicare la sola funzione se non si vuole pubblicare il nome della persona a capo di quella Unità. Un’altra best practice potrebbe essere, anzi, dovrebbe essere anche quella di inserire i responsabili esterni.

Bibliografia consigliata

Dario Cavalli
responsabile relazioni sindacali
Lavoro nel campo delle relazioni industriali in Avio SpA. Sono responsabile delle relazioni sindacali e mi occupo di diritto del lavoro, privacy, contenzioso e gestione del personale.
Linkedin