Per affrontare al meglio la gestione dei dati la privacy deve diventare un anello della catena della conformità aziendale e deve rientrare nelle attività messe in campo e negli elementi da considerare fin dalle prima fasi di progettazione dell’impresa. Lo spiega Iginia Colombi, responsabile area privacy di BCO Consulting (www.bcoconsulting.it), a cui abbiamo chiesto una panoramica sullo stato dell’arte della questione privacy oggi e su cosa devono concentrarsi le aziende per gestire al meglio la protezione dei dati.
Innanzitutto, spiega l’esperta, la normativa a cui si fa riferimento è il Regolamento Europeo 679 del 2016 (chiamato anche GDPR General Data Protection Regulation ) ma in realtà accanto a questo rimangono in vigore anche le normative nazionali, a cominciare dal Codice sulla Privacy del 2003, adeguato al GDPR con il Decreto 101/2018.
Il fulcro fondamentale è la persona fisica, ovvero l’interessato, il soggetto debole che la normativa deve proteggere e di cui occorre tutelare i diritti. Nel nostro comparto dunque si tratta dell’ospite di un hotel, del cliente di un ristorante, dell’utilizzatore finale di un sito di prenotazione, per fare qualche esempio.”La cosa importante di cui le aziende devono tenere conto è che la normativa vigente non impone più quali misure a protezione di questi dati devono essere messe in piedi, come invece accadeva sotto la vigenza del Codice Privacy prima dell’entrata in vigore del GDPR – spiega Colombi – , il grande salto è stato che ora sono le aziende a dover valutare quali misure di sicurezza implementare a protezione dei dati e con quale grado di rigidità. Questo vuol dire che la valutazione delle misure si deve basare anche su elementi di carattere organizzativo ed economico al fine di poter individuare qual è la misura migliore da applicare in termini di efficace protezione dei dati, e pertanto la forbice può essere molto ampia. Ci sono le aziende che hanno già messo in atto da tempo misure strutturate che si inseriscono all’interno del loro sistema di gestione, altre che sono state spinte ad adeguarsi perché magari sono fornitrici di grandi gruppi che richiedono una formale attestazione di adeguatezza alla normativa sulla protezione dei dati. C’è più libertà, certo, rispetto alle regolamentazioni del passato, però di contro sono le aziende stesse a dover valutare fin dove è lecito spingersi senza incorrere in errori e dunque in sanzioni in caso ad esempio di eccessive richieste dei dati o di attività di profilazione posta in essere senza l’adeguata base giuridica”.
Protezione e big data
E questo è un elemento importante su cui riflettere in tempi in cui uno dei mantra è diventato quello dei big data. Le aziende, specie quelle di turismo e ospitalità, sono spesso invitate, in linea con le tendenze del marketing e della commercializzazione, a lavorare sui dati per conoscere sempre più da vicino i propri clienti e potenziali cali, profilarli e confezionare per loro prodotti, servizi e offerte sempre più su misura. Come si può conciliare questo con la necessaria protezione e sicurezza dei dati? “Questo è sicuramente un interesse che va contemplato, quando si tratta di aziende dell’ospitalità che vivono di marketing e profilazione del cliente per dare un servizio più sartoriale possibile. Di contro però l’interessato deve essere informato di questo tipo di attività e deve decidere se vuole partecipare o meno in piena libertà”.
L’approccio corretto
Sono due le facce di un approccio corretto alla gestione dei dati, si tratta di un elemento documentale/normativo e di uno di tipo tecnico/informatico. Sempre tenendo in considerazione il fatto che la gestione dei dati deve diventare un’attività da gestire in team, affiancando una consulenza esterna al personale formato internamente.
“Il primo aspetto da affrontare nel gestire la normativa è quello legato a procedure e documenti: devo sapere quali sono le attività necessarie e per farlo fondamentale è il Registro dei Trattamenti. Bisogna avere ben chiari in mente quali dati vado a utilizzare e per quali finalità, tenendo conto anche di un altro aspetto, quello relativo ai dipendenti, che infatti hanno un doppio ruolo, da una parte sono soggetti interessati perché le aziende trattano i loro dati per tutte le finalità connesse all’esecuzione del rapporto contrattuale (pagamento degli stipendi, adempimenti in materia di sicurezza e sorveglianza sanitaria ecc…), dall’altra però si qualificano anche come soggetti autorizzati al loro trattamento perché si interfacciano con il cliente finale trattandone i dati. A questo proposito, l’informativa rimane il primo contatto che l’azienda ha con il cliente e con la quale gli comunica le attività e i relativi trattamenti che verranno realizzati con i suoi dati, dunque è fondamentale che sia scritta in modo chiaro, comprensibile e che descriva con esattezza tutto ciò che l’azienda effettuerà con i dati del cliente, dalle attività necessarie all’esecuzione della prestazione fino alle iniziative di marketing”.
La normativa sulla protezione dati poi si interfaccia anche con altre disposizioni che devono essere conosciute. Ecco perché è essenziale un approccio multidisciplinare alla protezione dati, “un esempio di queste ulteriori norme è quello delle disposizioni normative in materia di impianti di video-sorveglianza, presenti in molti hotel e ristoranti, il tema della videosorveglianza si lega strettamente anche con il diritto del lavoro, per esempio in relazione al fatto che l’impiego di un impianto di videosorveglianza comporta adempimenti sia sotto l’aspetto della protezione dei dati sia per quanto riguarda gli aspetti giuslavoristici, in quanto tali impianti costituiscono strumenti atti a porre in esser un controllo a distanza versi i lavoratori”.
Accanto alla fase documentale diventa sempre più cruciale l’aspetto della sicurezza informatica. Molti incidenti apparsi sulle cronache riguardano infatti l’utilizzo di infrastrutture informatiche non sicure e ciò che può esporre l’azienda a differenti problemi. Una violazione di dati determina un’ampia gamma di obblighi per l’azienda dal punto di vista della normativa sulla protezione dei dati, ma non solo. Pensiamo ad esempio anche alla cattiva pubblicità che può derivare da un episodio di attacco informatico ad opera di un hacker che riesca a rubare i dati dei clienti di un hotel o di un ristorante, questo evento va ad incidere anche su quel rapporto di fiducia che si crea tra azienda e ospite. Ecco perché è necessario attenersi alla normativa ma anche prestare la massima attenzione all’aspetto informatico ponendo in essere azioni a tutela della solidità della propria infrastruttura, proprio per evitare di trovarsi a gestire eventi di questa portata con tutte le loro conseguenze.
Il green pass
”Il consiglio per approcciarsi a questo tema è quello di porre massima attenzione agli aspetti di protezione dei dati che emergono dall’applicazione degli obblighi recentemente introdotti. Anche in questo caso occorre identificare con chiarezza chi fra il personale sarà addetto al controllo delle Certificazioni Verdi e nominarlo con specifica lettera di designazione contenente le istruzioni operative. Come previsto dalla normativa la verifica può essere effettuata tramite l’App ufficiale rilasciata dal Ministero della Salute (Verifica C19) oppure utilizzando gli ulteriori strumenti previsti, ricordando che delle Certificazioni Verdi non va fatta alcuna copia. A questo proposito, va ribadito che non ci sono profili di rischio per la privacy dell’utente in quanto l’App di verifica è stata strutturata proprio per non registrare alcun dato una volta che si conclude la scansione del QR Code.
In generale oggi la tecnologia può venire in aiuto grazie ad app e sistemi di intelligenza artificiale. Pensiamo ad esempio ai sistemi che si diffonderanno come i totem settati in modo da poter verificare in maniera autonoma il green pass”. Essenziale è non sottovalutare gli impatti di protezione dei dati di questi progetti e fin dalle fasi progettuali tenere conto delle implicazioni privacy in un’ottica di privacy by design come previsto dal GDPR.
Per approfondire questi temi si può contattare la dott.ssa Iginia Colombi all’indirizzo mail privacy@bcoconsulting.it
Comments are closed