Così si attrezzano le aziende per rispettare la privacy.

Il Sole 24 Ore  - inserto @lfa - Giovedì 5 febbraio  2004 

Una domanda che, con l'entrata in vigore del nuovo Codice Privacy, molti imprenditori si stanno ponendo è: quante e quali risorse deve mettere in campo un'azienda per arrivare oggi a potersi ritenere "privacy compliant"? L'applicazione della normativa in materia di privacy comporta, come è noto, l'adozione di una modulistica aziendale adeguata e di una certa serie di procedure applicative per gestirla correttamente. Ma questo è soltanto l'aspetto più visibile all'esterno. Ben più numerosi in realtà sono gli adempimenti necessari e la loro complessità è direttamente proporzionale al livello di informatizzazione delle procedure ed al grado di "integrazione" delle stesse, all'interno dell'azienda.
Gli obblighi. Il titolare (l'azienda) è tenuto ad organizzare i propri processi aziendali in modo coerente con le forme di trattamento lecite, che devono essere indicate nelle informative, insieme con l'indicazione dei soggetti che avranno accesso ai diversi archivi, come incaricati o responsabili del trattamento. Tutto ciò non può essere realizzato senza una preventiva "mappatura" degli archivi e dei processi, a cui sia seguita una riprogettazione dei flussi dei dati, organizzata in funzione della selezione delle aree aziendali da cui quei dati possano risultare accessibili.
L'evidente obiettivo è quello di indurre il titolare ad una riorganizzazione dei processi aziendali che segua non soltanto le logiche strategico/produttive dell'azienda, ma anche ed in parallelo le logiche privacy, eliminando ridondanze, inutili duplicazioni di archivi, sulla base del presupposto che a quel dato devono avere accesso soltanto gli incaricati appartenenti alle aree aziendali identificate e che ne faranno un trattamento lecito e necessario.
I sistemi Erp. Nel caso di progettazione ed implementazione, in azienda, di un sistema informatico integrato (i cosiddetti sistemi Erp), è quindi indispensabile costituire gruppi di progetto eterogenei, provvisti anche di competenze in materia di privacy e relative misure di sicurezza, che siano in grado di riprogettare i processi aziendali, secondo le logiche del sistema integrato ma, allo stesso tempo, in coerenza con un'organizzazione dei flussi "privacy compliant".
Tale attività sarà naturalmente molto più complessa ed articolata nel caso in cui il sistema informativo integrato debba essere implementato con lo scopo di servire più aziende, facenti parte del medesimo Gruppo. Sempre più spesso accade infatti che il sistema integrato venga realizzato dalla Capogruppo, per operare in modo accentrato e con notevole risparmio di costi, anche in favore delle collegate e controllate. Nei sistemi di questo tipo si verificano degli incroci di flussi di dati tra società che, nonostante appartengano al medesimo gruppo, restano comunque persone giuridiche a sè stanti, ognuna titolare dei propri trattamenti. Basti pensare ad esempio alla selezione e gestione del personale fatta da una società anche per conto delle altre, o al servizio di contabilità generale, agli approvvigionamenti etc., che sono tutti trattamenti di per sè leciti, ma che devono essere "gestiti" ai sensi privacy, nel caso siano affidati ad altra società del Gruppo. In altri termini dovranno essere esaminati non solo i rapporti delle singole società con i terzi, ma anche quelli reciproci tra società del Gruppo, tenendo conto dei fornitori esterni di cui queste si avvalgono per la erogazione dei servizi ed a cui vengono comunicati i relativi dati. Sarà necessario gestire sia i meccanismi di raccolta dei dati (informative ed eventuali consensi), sia i flussi dei dati all'interno del sistema (ad esempio con opportuni incarichi a responsabile tra una società e l'altra), in modo da consentire il trattamento di alcune tipologie di dati anche ad altre società del Gruppo, nel rispetto della normativa. La comunicazione di dati tra una società e l'altra, che all'interno di tali sistemi si identifica con l'accessibilità logica, dovrà quindi essere regolamentata con una rigidissima applicazione delle procedure di autorizzazione all'accesso, previste dal Codice (misure di sicurezza All. B), che tenga conto di tutta l'architettura privacy generale del gruppo e dei rapporti reciproci tra le consociate. Nel caso poi si voglia sfruttare maggiormente le sinergie, mediante la realizzazione di alcuni archivi unici, in senso anche logico/informatico, sarà necessario individuare le finalità di trattamento assimilabili e procedere ad una raccolta dei dati da parte di tutte le società, in questo caso configurate come contitolari del trattamento.
La posta elettronica. Infine particolare attenzione dovrà essere riservata anche alla gestione della posta elettronica ed all'accesso ad Internet che, se gestiti a livello di Gruppo, avranno come effetto di moltiplicare le note problematiche di violazione degli artt. 4 e 8 dello Statuto dei Lavoratori (divieto di controllo a distanza e di indagine sulle opinioni), nonché di violazione della privacy del dipendente con riguardo alla posta personale. In questi casi i dati saranno nella disponibilità non soltanto del datore di lavoro, ma anche della società del Gruppo che gestisce il sistema, a cui fanno capo gli account di posta elettronica e che ha la responsabilità dei server nei quali circolano tali informazioni . I regolamenti aziendali per l'uso della posta e per l'accesso ad Internet dovranno essere redatti tenendo conto di questi aspetti e dovranno dare atto dell'avvenuta gestione ai sensi privacy dei trattamenti da parte delle altre società del Gruppo.

 Avv. Allegra Stracuzzi

     

Home page            Articoli - Normativa             Contattaci