Privacy: un'opportunità prima che un obbligo per l’azienda
Il tema della tutela nel trattamento dei “dati personali” in azienda, o più comunemente della Privacy, viene spesso considerato un mero onere ulteriore, un adempimento burocratico coercitivo e immotivato da rispettare.
Antonio Ferraguto
Avvocato del Foro di Milano
Una tale visione della Privacy è indubbiamente riduttiva.
Tale materia, al contrario, offre risvolti di innegabile valore, tutt’altro che trascurabili per un’azienda, rappresentando per l’impresa un “valore aggiunto” oltre che un vero e proprio “bene commerciale” da tutelare e valorizzare.
Il rispetto della normativa Privacy da parte dell’impresa può rivelarsi sorprendentemente proficuo, sia in termini organizzativi, sia in termini di reputazione ed immagine aziendale.
Si pensi, innanzitutto, alla Privacy come forma di tutela dell’attività aziendale.
Avere dipendenti, procedure e organizzazione interna tali da far sì che vengano rispettate le misure minime di sicurezza imposte dalla normativa in materia di tutela della Privacy consente, innanzitutto, una migliore tutela del patrimonio aziendale.
La maggior consapevolezza degli addetti all’esigenza di tutelare i dati sensibili aiuta a maturare, nei rapporti aziendali, una dinamica più attenta agli effetti delle proprie azioni in azienda (pensiamo a procedure tanto semplici quanto disattese nella prassi, come la corretta custodia delle password, l’uso improprio di Internet, ecc.).
Il rispetto delle misure minime di sicurezza previste dalla Legge si riverbera positivamente in altri campi: se dobbiamo tutelare un segreto aziendale (come richiesto dall’art. 98 D.Lgs.30/2005), provare che siano adottate misure adeguate a mantenere l’informazione protetta sarà senz’altro più semplice e senza grandi sorprese per chi avrà dedicato tempo e impegno alla corretta implementazione delle misure di sicurezza, oltre a far sì che venga esclusa una responsabilità dei dirigenti in posizione apicale, oltre che di amministratori e sindaci dell’impresa stessa.
Allo stesso tempo, maggiore tranquillità potrà avere l’azienda che ha correttamente disciplinato l’uso degli strumenti aziendali altresì rispetto ai propri clienti.
Si pensi all’ipotesi in cui il dipendente in fase di cessazione del rapporto di lavoro intenda cancellare o sottrarre dati vitali presenti nei dispositivi informatici d’azienda, oppure che abbia la possibilità di sottrarre informazioni preziose per l’azienda (relative ad esempio ai clienti della stessa) per cederle a terzi concorrenti. Va inoltre sottolineato che possedere, e soprattutto dimostrare di possedere, procedure organizzative interne, tali da garantire le misure di sicurezza previste dalla normativa sulla Privacy non può che avere come inevitabile vantaggio quello di poter godere di una migliore compliance aziendale rispetto ad eventuali competitor.
Come noto, la reputazione aziendale oggi conta, come mai prima, per essere davvero competitivi sul mercato.
Del resto sono la serietà e la professionalità di un’impresa ad attribuirle stima da parte dei clienti o potenziali tali, rappresentando i valori con cui l’azienda si presenta sul mercato e si rende conoscibile.
Un’impresa che presenta documenti e politiche aziendali in materia di Privacy di assoluto livello comprova un’attenzione non comune per aspetti di fondamentale importanza.
Si pensi ad esempio alla pubblicazione sul sito web di informative sull’utilizzo e la gestione dei dati che siano adeguatamente redatte e comprensibili, o alla pubblicazione da parte dell’azienda anche di documenti non obbligatori per la normativa ma volutamente adottati per garantire una migliore gestione ed organizzazione aziendale e, inoltre, pubblicati sul sito web per portare a conoscenza del cliente la propria policy di gestione dei dati custoditi dall’azienda.
Va sottolineato, altresì, che proprio come accade con le procedure per le Certificazioni ISO, il cui ottenimento in alcuni casi dipende anche dal rispetto delle misure minime di sicurezza in materia di dati personali, adottare le procedure organizzative Privacy potrà sì comportare un sforzo, ma esso verrà compensato immediatamente dai rilevanti riscontri che l’azienda otterrà dalla positiva “pubblicità” della propria reputazione.
Fondamentale, inoltre, sottolineare che il rispetto della Privacy ci è richiesto anche dall’Unione Europea.
Ed infatti, il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il nuovo Regolamento Europeo Privacy, già in vigore ma che diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, quando dovrà essere garantito il perfetto allineamento fra la normativa nazionale in materia di protezione dati e le disposizioni del Regolamento.
Il Regolamento è parte del cosiddetto Pacchetto protezione dati, l'insieme normativo che definisce un nuovo quadro comune in materia di tutela dei dati personali per tutti gli Stati membri dell'UE e comprende anche la Direttiva in materia di trattamento dati personali nei settori di prevenzione, contrasto e repressione dei crimini.
Il Regolamento Europeo Privacy prevede significative modifiche al Codice della Privacy attualmente in vigore, contemplando una disciplina che, in caso di irregolarità, comporterà sanzioni amministrative pecuniarie che possono raggiungere i 20 milioni di euro o il 4% del fatturato totale annuo del trasgressore.
Con l’entrata in vigore del Regolamento Europeo, la Privacy ancor più di prima acquisterà un ruolo di fondamentale importanza, non solo per l’organizzazione interna dell’impresa ma, altresì, ed ancor di più, per l’immagine e la reputazione dell’impresa stessa verso i propri clienti.
È del tutto evidente che per un’azienda la cui attività è rivolta anche a clienti esteri, europei e non, essere in regola con le norme comunitarie in materia di tutela dei dati rappresenterà un presupposto imprescindibile per risultare credibili, rispettando le regole condivise nell’ambito dell’intera Unione Europea.
L’osservanza delle misure di sicurezza dei dati previste dal Codice della Privacy rappresenta quindi, più che mai, un’importante risorsa per l’azienda anche per essere competitiva sul mercato ed estendere i propri orizzonti oltre i confini nazionali.
Va altresì sottolineato che, come si sa, prevenire è meglio che curare.
Le possibili sanzioni irrogabili dal Garante della Privacy possono essere rilevanti e sono altresì onerose le conseguenze in termini di costo, tempo e risorse da impiegare, qualora si dovesse tardivamente ottemperare agli obblighi di Legge, imposti dal Garante in fase successiva.
Naturalmente, fondamentale per garantire il rispetto della Privacy, è l’apporto di professionisti specializzati che siano in grado di predisporre le adeguate misure di sicurezza dei dati personali in modo specifico per ciascun cliente, avendo una conoscenza approfondita delle peculiari dinamiche aziendali di ciascuno, nonché in grado di offrire al cliente una consulenza completa ed adeguata per ciascuna richiesta in tema di Privacy, essendo tale materia in continua evoluzione.
Il seminario, organizzato da ALDAI per giovedì 23 marzo 2017 alle ore 18.00, sarà dedicato all’approfondimento di tutti questi temi.
Prenotazioni: www.aldai.it - Sezione Eventi