Protezione dati personali e data governance

Da un punto di vista pratico è molto importante considerare che la grande maggioranza delle azioni utili a valorizzare il patrimonio informativo aziendale spesso vengono già compiute dalle organizzazioni, anche se con finalità originariamente diverse da quella di tutelare e sviluppare il patrimonio informativo complessivo: magari volontariamente, per migliorare o certificare l’organizzazione, il ciclo produttivo, la qualità dei processi, e molte invece obbligatoriamente perché devono essere compiute per rispondere a specifici obblighi di legge o regolamentari nati per tutelare interessi e diritti di terzi e non gli asset aziendali (ad esempio i dati personali, la salute e la sicurezza dei lavoratori, la continuità del servizio per le pubbliche amministrazioni o per il sistema bancario, la prevenzione della responsabilità amministrativa dell’ente…).

Per proteggere il patrimonio informativo aziendale nel suo complesso è dunque molto efficiente assumere un’ottica di tutela dell’informazione di tipo trasversale, integrata, capace di individuare e sfruttare le sinergie offerte dall’interazione di strumenti di protezione già adottati dell’organizzazione con la finalità di tutelare singole categorie di informazioni, ma che possono efficacemente essere estesi alle altre categorie di informazioni coinvolte dai medesimi processi aziendali.

Da questo punto di vista, la regolamentazione sulla protezione dei dati personali per le sue peculiarità rende possibile un vero salto di qualità nel senso dell’interazione sinergica degli strumenti di protezione delle diverse categorie di informazioni.

Consideriamo che i dati personali sono la categoria di informazioni assolutamente più trasversale, presente praticamente in qualsiasi processo aziendale, e che la loro protezione è obbligatoria: tutti devono adeguarsi alla normativa, che a sua volta si applica trasversalmente in tutti i settori di mercato e a tutti gli operatori.

Con il principio di accountability (integrato con quelli di privacy by design e by default) il GDPR obbliga di fatto ciascuno a sviluppare un modello individuale di governance dei dati personali costruita “su misura” e dinamica, perché destinata ad implementazione nel continuo, basata sulla prevenzione del rischio di violazione dei dati personali e sulla capacità di dimostrare sempre che il trattamento è conforme alle norme.

La conseguenza è l’obbligo implicito di attuare e procedimentalizzare tutta una serie di azioni (analisi, selezione, valutazione, assegnazione di ruoli, controllo) preventive e successive al trattamento e di formalizzarle documentalmente in modo rigoroso: questo sistema favorisce di fatto il raggiungimento della piena consapevolezza, la codificazione esplicita e la ripetibilità, da parte dell’organizzazione, delle tecniche e dei meccanismi applicati nella produzione ma anche delle competenze e dell’esperienza necessarie per operare correttamente.

E allora azioni che sono obbligatorie nell’ottica della protezione dei dati personali e dei diritti di terzi divengono di fatto strumentali anche alla difesa e alla valorizzazione delle informazioni aziendali di altro genere, strategiche sotto il profilo commerciale, industriale o tecnologico: ad esempio le informazioni su clienti e fornitori, ma anche quelle relative a piani aziendali e strategie di mercato, oppure a sistemi produttivi o di analisi... informazioni diverse dai dati personali ma che sono ugualmente coinvolte dai processi aziendali e di conseguenza con minimi adattamenti possono essere controllate, gestite, protette e valorizzate dallo stesso percorso di governance.

Uno degli strumenti più efficaci per gestire adeguatamente il flusso di informazioni aziendali è il CRM, di cui tratteremo diffusamente nel prossimo articolo.