Una
domanda che, con l'entrata in vigore del nuovo Codice Privacy, molti
imprenditori si stanno ponendo è: quante e quali risorse deve mettere in
campo un'azienda per arrivare oggi a potersi ritenere "privacy
compliant"? L'applicazione della normativa in materia di privacy
comporta, come è noto, l'adozione di una modulistica aziendale adeguata e
di una certa serie di procedure applicative per gestirla correttamente. Ma
questo è soltanto l'aspetto più visibile all'esterno. Ben più numerosi
in realtà sono gli adempimenti necessari e la loro complessità è
direttamente proporzionale al livello di informatizzazione delle procedure
ed al grado di "integrazione" delle stesse, all'interno
dell'azienda.
Gli obblighi. Il titolare (l'azienda) è tenuto ad organizzare i
propri processi aziendali in modo coerente con le forme di trattamento
lecite, che devono essere indicate nelle informative, insieme con
l'indicazione dei soggetti che avranno accesso ai diversi archivi, come
incaricati o responsabili del trattamento. Tutto ciò non può essere
realizzato senza una preventiva "mappatura" degli archivi e dei
processi, a cui sia seguita una riprogettazione dei flussi dei dati,
organizzata in funzione della selezione delle aree aziendali da cui quei
dati possano risultare accessibili.
L'evidente obiettivo è quello di indurre il titolare ad una
riorganizzazione dei processi aziendali che segua non soltanto le logiche
strategico/produttive dell'azienda, ma anche ed in parallelo le logiche
privacy, eliminando ridondanze, inutili duplicazioni di archivi, sulla
base del presupposto che a quel dato devono avere accesso soltanto gli
incaricati appartenenti alle aree aziendali identificate e che ne faranno
un trattamento lecito e necessario.
I sistemi Erp. Nel caso di progettazione ed implementazione, in
azienda, di un sistema informatico integrato (i cosiddetti sistemi Erp),
è quindi indispensabile costituire gruppi di progetto eterogenei,
provvisti anche di competenze in materia di privacy e relative misure di
sicurezza, che siano in grado di riprogettare i processi aziendali,
secondo le logiche del sistema integrato ma, allo stesso tempo, in
coerenza con un'organizzazione dei flussi "privacy compliant".
Tale attività sarà naturalmente molto più complessa ed articolata nel
caso in cui il sistema informativo integrato debba essere implementato con
lo scopo di servire più aziende, facenti parte del medesimo Gruppo.
Sempre più spesso accade infatti che il sistema integrato venga
realizzato dalla Capogruppo, per operare in modo accentrato e con notevole
risparmio di costi, anche in favore delle collegate e controllate. Nei
sistemi di questo tipo si verificano degli incroci di flussi di dati tra
società che, nonostante appartengano al medesimo gruppo, restano comunque
persone giuridiche a sè stanti, ognuna titolare dei propri trattamenti.
Basti pensare ad esempio alla selezione e gestione del personale fatta da
una società anche per conto delle altre, o al servizio di contabilità
generale, agli approvvigionamenti etc., che sono tutti trattamenti di per
sè leciti, ma che devono essere "gestiti" ai sensi privacy, nel
caso siano affidati ad altra società del Gruppo. In altri termini
dovranno essere esaminati non solo i rapporti delle singole società con i
terzi, ma anche quelli reciproci tra società del Gruppo, tenendo conto
dei fornitori esterni di cui queste si avvalgono per la erogazione dei
servizi ed a cui vengono comunicati i relativi dati. Sarà necessario
gestire sia i meccanismi di raccolta dei dati (informative ed eventuali
consensi), sia i flussi dei dati all'interno del sistema (ad esempio con
opportuni incarichi a responsabile tra una società e l'altra), in modo da
consentire il trattamento di alcune tipologie di dati anche ad altre
società del Gruppo, nel rispetto della normativa. La comunicazione di
dati tra una società e l'altra, che all'interno di tali sistemi si
identifica con l'accessibilità logica, dovrà quindi essere regolamentata
con una rigidissima applicazione delle procedure di autorizzazione
all'accesso, previste dal Codice (misure di sicurezza All. B), che tenga
conto di tutta l'architettura privacy generale del gruppo e dei rapporti
reciproci tra le consociate. Nel caso poi si voglia sfruttare maggiormente
le sinergie, mediante la realizzazione di alcuni archivi unici, in senso
anche logico/informatico, sarà necessario individuare le finalità di
trattamento assimilabili e procedere ad una raccolta dei dati da parte di
tutte le società, in questo caso configurate come contitolari del
trattamento.
La posta elettronica. Infine particolare attenzione dovrà essere
riservata anche alla gestione della posta elettronica ed all'accesso ad
Internet che, se gestiti a livello di Gruppo, avranno come effetto di
moltiplicare le note problematiche di violazione degli artt. 4 e 8 dello
Statuto dei Lavoratori (divieto di controllo a distanza e di indagine
sulle opinioni), nonché di violazione della privacy del dipendente con
riguardo alla posta personale. In questi casi i dati saranno nella
disponibilità non soltanto del datore di lavoro, ma anche della società
del Gruppo che gestisce il sistema, a cui fanno capo gli account di posta
elettronica e che ha la responsabilità dei server nei quali circolano
tali informazioni . I regolamenti aziendali per l'uso della posta e per
l'accesso ad Internet dovranno essere redatti tenendo conto di questi
aspetti e dovranno dare atto dell'avvenuta gestione ai sensi privacy dei
trattamenti da parte delle altre società del Gruppo.
Avv.
Allegra Stracuzzi
|