La Privacy Aziendale

Le nostre idee per gli utenti esperti

Le attività di consulenza del Gruppo hanno lo scopo di rendere i clienti del tutto autonomi nella gestione dei problemi ordinari che riguardano la privacy.

Mission

La Mission di Privacy Quality è quella di assistere i clienti nella gestione dei dati personali che trattano, sia adeguando il processo produttivo alle cicliche esigenze del d.lg. 196/2003, sia rendendo il trattamento un procedimento assimilato, efficiente, efficace e con margini di rischio calcolati e tollerabili.

Per assistere i propri partner, quando necessario, Privacy Quality non si limita alle tradizionali attività di adeguamento, ma analizza trasversalmente l'attività dell'azienda per migliorare:

  • gli aspetti metodologici organizzativi
  • la sicurezza dei sistemi informativi
  • gli apparati di  gestione del rischio attinenti alla struttura
  • l'efficienza con il cliente interno e l'efficacia nei confronti del cliente esterno
  • la formazione della dirigenza aziendale tramite interventi formativi mirati a sviluppare competenze specifiche per acquisire sempre maggiore autonomia direttiva
  • la formazione del personale dell'azienda: curando gli aspetti formativi obbligatori per legge in ottemperanza della regola 19.6 dell'Allegato B; coordinando e pianificando moduli formativi per l'addestramento specifico dei ruoli di incaricati e responsabili

Vision

L'esigenza di Privacy Quality  è quella di andare oltre per:

  • rendere gli ostacoli occasione di crescita sapendo superarli in modo corretto
  • integrare gli sforzi del team in modo da generare le sinergie che rendono ogni componente essenziale  e al tempo stesso non esclusivo custode delle proprie competenze
  • ideare le strategie uniti per poterle realizzare anche divisi, poiché non servono sovrapposizioni nei ruoli operativi
  • trovare soluzioni capaci di concretizzare le procedure esistenti, al fine di applicare le leggi non solo nella forma ma soprattutto nella sostanza

Posizionamento

Privacy Quality si rivolge ad aziende medie e grandi che nell'adeguamento alla normativa vedono un'opportunità per rendere più economica una parte significativa del loro processo produttivo. 

Privacy Quality si rivolge soprattutto ad aziende che non cercano soluzioni preconfezionate ma che desiderano ricercare con i componenti del team Privacy Quality le soluzioni più adatte alla propria realtà operativa.

Cosa intendiamo per privacy nelle aziende

Le attività privacy da svolgere in azienda non sono riducibili solo ad alcuni specifici ambiti, ma occupano spazi trasversali. Non è quindi possibile relegare le attività privacy ad una singola funzione aziendale.

Sulla base delle esperienze maturate dai componenti del gruppo, Privacy Quality ha maturato la convinzione che l'adeguamento alle norme della privacy possa essere un'opportunità per migliorare l'efficienza e la produttività oltre che la sicurezza.

È inoltre un'aspettativa di Privacy Quality quella di rendere autonome le aziende clienti che lo desiderino. Poiché alcune attività tipiche della privacy sono continue e cicliche, è preferibile che ciascuna azienda sviluppi competenze e risorse proprie in una crescente autonomia.

Le norme del d.lg. 196/2003 sono vincolanti e richiedono prevalentemente un comportamento attivo da parte delle aziende che devono consapevolmente effettuare delle scelte.

Queste scelte che le aziende devono effettuare comportano conseguenze in alcuni casi significative ad esempio nelle aree di:

  • inquadramento dei dipendenti e le mansioni degli stessi
  • struttura aziendale e collaboratori esterni
  • protocolli operativi per tutti quei comportamenti che necessariamente portano al trattamento dei dati personali

Per questi motivi è importante ricordare che non è privacy:

  • il mero adeguamento al disciplinare tecnico (secondo le regole indicate nell'Allegato B del d.lg.196/203)
  • la semplice tutela della riservatezza di alcuni dati personali
  • un adeguamento della modulistica (informative, comunicazioni / lettere scritte, circolari)
  • la necessità cosmetica di rendere all'esterno l'azienda “in regola”

Poiché alle aziende è richiesto di tenere un comportamento attivo, gli eventuali inadempimenti possono risultare molto più visibili e difficilmente sanabili di quanto non sarebbe in presenza di norme che si limitassero ad esprimere dei divieti. Per questo la mancanza di scelte organizzative in relazione a trattamenti di dati personali è di per sé una violazione di alcune delle norme indicate nel decreto legislativo.

La violazione di queste norme, quando viene rilevata, implica sanzioni importanti, ad esempio:

  • sanzioni amministrative fino a oltre 100.000 euro
  • condanne penali sino alla reclusione per alcuni anni nei casi più gravi
  • condanna civile al risarcimento dei danni provocati
  • esclusione da pubbliche gare di appalto
  • eventuale ritiro di certificazioni conseguite
  • revoca di finanziamenti pubblici ed eventualmente privati
  • blocco dei trattamenti, ovvero il divieto di comunicare o ricevere dati personali

Inoltre quanto sopra indicato può provocare, oltre a perdite economiche per i mancati guadagni, seri danni di immagine.

Cosa comporta l'adeguamento per l'azienda:

  • riassetto trasversale globale
    • è necessario riconfigurare tutte le strutture aziendali che trattano dati personali
    • è necessario riconfigurare tutte le strutture aziendali che si occupando di governance
  • implementazione / adeguamento dei processi aziendali per il rispetto delle regole esterne (Codice e “allegati”)
    • revisione procedurale delle attività che implicano trattamento di dati personali
    • adeguamento o costituzione delle strutture aziendali che si occupano di governance
      • adeguare le strutture di governance già esistenti
      • istituire apposite strutture laddove ritenute opportune, come ad esempio internal audit
  • gestione delle cicliche attività di adeguamento derivanti dalle regole esterne (codice e allegati) ed interne (procedure aziendali e normativa interna)
    • verifiche del rispetto della normativa privacy interna e esterna
    • verifiche periodiche previste dal disciplinare tecnico in materia di misure minime di sicurezza
    • adeguamenti periodici
    • implementare un ciclo Plan - Do - Check (cfr. figura 1)
  • definizione gruppo di lavoro
    • individuare le abilità necessarie ad implementare quanto ritenuto opportuno e necessario all'adeguamento:
      • risorse interne
      • scelta del partner esterno
    • definizione piano di lavoro (project book)
  • tuning della struttura trasversale privacy
    • messa a punto di tutte le strutture aziendali coinvolte dalle attività di riassetto
  • impegni riorganizzativi, operativi e di controllo crescenti nel tempo
    • mantenimento dell'adeguamento privacy
    • impatto del progresso tecnologico
    • adeguamento revisioni normative (esterne)
    • adeguamento alle interpretazioni e pronunzie dell'Autorità garante (osservatorio)
    • corretto riscontro al “diritto di accesso”

Impegno nel tempo per le Aziende da dedicare allo svolgimento delle “attività privacy”

Diversamente da quanto si può immaginare, l'impegno che l'azienda deve sostenere per le “attività privacy” è distribuito nel tempo in maniera crescente e quasi in modo costante ed uniforme.

Non è sufficiente uno sforzo organizzativo o operativo iniziale, seguito da semplici attività di revisioni annuali.

La legislazione sulla privacy, considerato anche il vertiginoso sviluppo delle nuove tecnologie, è destinata a rivestire un ruolo sempre più rilevante ed impegnativo per l'azienda.

La nostra offerta

Privacy Quality propone un'attività di consulenza e supporto delle funzioni aziendali che non si limiti alle attività all'adeguamento formale, ma si offre di collaborare con l'azienda per disegnare ed implementare una struttura che operi nel rispetto della normativa in modo compiutamente autonomo, monitorando i processi aziendali che comportano trattamento dei dati personali (cfr. figura 1)

Obiettivo finale delle attività di consulenza di Privacy Quality è infatti quello portare i clienti ad una gestione autonoma di tutte le operazioni ordinarie in materia di riservatezza dei dati personali.

Il grado di autonomia deve essere consapevolmente scelto dal cliente sulla base delle dimensioni dell'azienda e della rilevanza che opera la privacy nell'ambito delle attività aziendali che necessariamente deve svolgere.

figura1

La consulenza tradizionale

Lo schema più frequentemente utilizzato nella consulenza in materia di privacy prevede che un soggetto esterno si faccia carico di un'area di criticità aziendale, fornendo gli strumenti e le competenze necessarie e indispensabili richiesti (cfr. figura 2). Tuttavia, frequentemente, risolvere tale criticità specifica vuol dire non risolvere il problema alla radice. Una delle soluzioni più efficaci che sono state studiate è la creazione di un'attività di auditing ad hoc sulla privacy. Tale attività deve essere effettuata internamente dall'azienda stessa quando dimensioni e rilevanza della privacy lo rendono conveniente e necessario.

Se invece le attività di consulenza ed adeguamento continuano a limitarsi alla soluzione dei problemi più urgenti senza un'analisi di tutto il processo produttivo aziendale si rischia di avere una disarmonica attività di adeguamento, che se prolungata nel tempo provoca immancabilmente dei danni all'azienda.

figura2

Nello schema illustrato tuttavia permane una dipendenza dal consulente che impedisce all'Azienda di sviluppare autonomia in un'attività che non potrà interrompere e che ciclicamente richiederà attività di aggiornamento. Facilmente questa relazione si traduce in una mancata crescita dell'Azienda.

Alcuni nostri servizi