Gdpr: lo stretto legame tra il “gestionale”, la digitalizzazione totale a norma e la privacy

Introducendo il principio della accountability, cioè della ”auto-responsabilizzazione” da parte del titolare e del responsabile del trattamento dei dati, il Gdpr o Regolamento (Ue) 2016-679 rovescia l’approccio della compliance aziendale in tema di privacy. Ai due ruoli sopra citati, che vanno comunicati in modo chiaro nell’informativa, viene richiesto un approccio proattivo mirato a prevenire possibili danni alle persone i cui dati vengono trattati. L’aver organizzato processi aziendali tecnici e giuridici sistematici, sicuri, non occasionali per la gestione della privacy diventerà quindi un esimente nel non auspicato caso di data breach (incidente con perdita o fuga di dati).

L’art. 5 del Gdpr definisce il titolare del trattamento e l’art. 24 impone le “adeguate misure tecniche ed organizzative” da assumere dopo aver effettuato la specifica analisi e valutazione dei rischi sui dati personali trattati: è un concetto più strutturato e stringente rispetto alle misure minime di sicurezza citate nell’allegato B del precedente D.Lgs. 196/2003.

Nasce quindi il concetto della privacy by design e della privacy by default, che rende necessario prevedere da subito, contestualmente alla configurazione dell’impresa, le metodologie e gli strumenti a tutela dei dati personali che per i fini aziendali saranno trattati, osservando alcuni principi come la minimizzazione (i dati raccolti devono essere limitati a quanto necessario rispetto alle finalità per le quali sono trattati) e la pseudonimizzazione (le eventuali informazioni di profilazione devono essere conservate in una forma che impedisca l’identificazione dell’utente).

Dal requisito della privacy by design consegue che la digitalizzazione dei processi aziendali viene a rappresentare uno strumento utile e anche sostanziale al raggiungimento della compliance Gdpr. Infatti la governance digitale dei processi, presiedendo all’acquisizione, alla gestione e all’archiviazione elettronica delle informazioni, dimostra che il Titolare e il Responsabile del trattamento hanno adottato le idonee misure di sicurezza per trattare in modo corretto i dati che vi transitano. Oltre a migliorare la produttività e a ridurre i costi.

Tutto questo a condizione che la digitalizzazione dei processi rispetti precisi e rigorosi requisiti, atti a gestire i rischi intrinsecamente connessi con il trattamento digitale. Tali requisiti includono: 1) le misure di sicurezza fisiche, verificando ad esempio i luoghi dove sono allocati i server e la loro sicurezza; 2) le sicurezze logiche e la confidenzialità dei dati gestiti con il processo di “crittografia-anonimizzazione-partizionamento dei dati”; 3) la sicurezza della rete, verificando il firewall, le sonde di rilevamento intrusione e/o altri dispositivi attivi o passivi atti a garantirne la sicurezza.

In conclusione, privacy e digitalizzazione dei processi con conservazione a norma sono due elementi di organizzazione aziendale sinergici e correlati fra loro nei due sensi.

Anche per le agenzie di viaggi il Gdpr è l’occasione per un riesame approfondito del proprio modo di lavorare, di ricevere, trattare e archiviare i dati delle persone fisiche, siano essi clienti o passeggeri. A maggior ragione se si vogliono svolgere attività che inlcudono il trattamento dei cosiddetti dati sensibili o “particolari”, come ora sono chiamati, per i quali il Gdpr prevede alcuni adempimenti preliminari obbligatori. Si pensi ad esempio a pratiche di visto o a polizze assicurative che comportano la gestione di informazioni circa etnia, religione, opinioni politiche; adesione a partiti, sindacati, associazioni e movimenti politici o religiosi; comportamento sessuale; informazioni sanitarie, finanziarie, giudiziarie. Trattare questi dati particolari non è semplice e l’agenzia dovrebbe chiedersi se non sia possibile, il più delle volte, creare un contatto diretto fra il cliente e gli Enti preposti, che sono strutturalmente organizzati per farlo.

A risolvere tutto questo è mirato il Sistema ©ADVMANAGER.

Avv. Pietro Montella, Savino Solution Srl
Comitato Scientifico del Centro Studi ©TURISMO2000

La Newsletter del Centro Studi ^©TURISMO2000, 8 giugno 2018, n. 26
Amministrazione Contabilità Fisco Digitalizzazione Pagamenti Normativa Economia Mercato
L’Agenzia di Viaggi Magazine media partner
[email protected]  / www.advmanager.org