Quasi il 92% delle aziende utilizza un database per salvare informazioni su un cliente o su un potenziale cliente. Probabilmente sapete già che il sistema che si utilizza per salvare tutti i dati dei clienti deve essere conforme al GDPR. Ecco alcuni dei settori chiave che potete migliorare per proteggere adeguatamente i vostri dati.
1. Basta pensare al GDPR come a un nemico
Da quando è entrato in vigore il GDPR, le violazioni del regolamento hanno minato molto la fiducia dei consumatori. Il numero di multe che alcune aziende hanno dovuto improvvisamente pagare ha spaventato molte aziende. Tuttavia, la fiducia è rimasta un bene fondamentale e il GDPR non è solo un altro irritante onere burocratico per la vostra azienda, in realtà contribuisce a costruire un rapporto di fiducia con i clienti.
Pertanto, anziché avere paura, provate a immaginarlo come una guida che impedisce ai vostri clienti di negarvi i loro dati o di abbandonare completamente la vostra azienda. Ad esempio, potete iniziare a creare portali sulla privacy in cui i vostri clienti possono accedere ai propri dati e accordare il proprio consenso per i servizi personalizzati che trovano utili.
O ancora, potete spingervi oltre e rendere più comprensibile la vostra informativa sulla privacy, dato che il numero di persone che leggono le informative sulla privacy dall’inizio alla fine è ancora piuttosto basso. Secondo un'indagine della Commissione Europea del 2019, solo il 13% delle 27.000 persone legge le informative sulla privacy fino alla fine. La maggior parte ci rinuncia perché queste informative sono troppo lunghe o troppo difficili da capire. Tutte le aziende online che hanno a cuore la propria identità digitale dovrebbero provvedere a informative sulla privacy concise, trasparenti e facilmente comprensibili per tutti gli utenti.
2. Assicuratevi che voi e i vostri colleghi comprendiate il termine "informazioni personali"
Suona strano o troppo semplice? Il significato di questo termine non è ancora completamente chiaro tra le aziende, pertanto è fondamentale definire correttamente cosa siano le informazioni personali.
Oggigiorno, tutti noi lasciamo in Internet tracce di dati della nostra vita personale, come Hansel e Gretel che lasciano una scia di briciole di pane per ritrovare la strada di casa; chiunque potrebbe tuttavia usare queste briciole per monitorarli. Le informazioni personali identificabili (IPI) non consistono solo in IBAN, ID, e-mail e recapiti. Le IPI includono anche tutte le informazioni relative a una persona fisica identificabile, compresi i post sui social media, le immagini del profilo e gli indirizzi IP dei dispositivi.
In un'intervista, l'esperto informatico Jaroslav Oster ha sottolineato come la spiegazione chiara di queste sfumature debba far parte di una formazione efficace sul GDPR. "Le piccole e medie imprese stanno gradualmente iniziando a capire che la sicurezza delle informazioni non può essere costruita senza un'adeguata formazione dei dipendenti - i principali utenti dei sistemi informativi di un'azienda", ha spiegato.
3. Scegliere un buon RPD
Se la vostra attività comporta un monitoraggio regolare e sistematico delle persone interessate o il trattamento su larga scala di categorie speciali di dati come attività principali, allora dovete nominare un responsabile della protezione dei dati (RPD). La responsabilità principale dell'RPD è di garantire che tutti i processi che interessano i dati dei clienti siano conformi al GDPR, inclusi i dati del vostro personale, dei vostri fornitori o di qualsiasi altro soggetto a contatto con la vostra azienda.
Ma come si fa a sceglierne uno? Un RPD deve comprendere le implicazioni pratiche dei regolamenti in materia di privacy dei dati e sapere come valutare i livelli di rischio con soluzioni appropriate da presentare al management. Pertanto, l'RPD dovrebbe anche avere ottime capacità di persuasione e di negoziazione per comunicare in modo efficace.
4. Conservare le prove di conformità
Prima o poi, potreste essere chiamati a spiegare come la vostra azienda tratta i dati. Utilizzate davvero i dati dei clienti per gli scopi per cui vengono raccolti? Bene. E siete pronti a dimostrarlo a un legislatore?
Dovreste tenere traccia di tutte le fasi attraversate dai dati, dalla raccolta all'uso. Provate a implementare tecnologie e processi di prevenzione delle fughe di dati che aiutino la vostra azienda a conciliare le informazioni tra sistemi e processi e a costruire un controllo più forte in grado di risalire alle tracce dei dati. Non dimenticate i dati che salvate offline. Questo vale particolarmente durante eventuali crisi che influenzano il modo in cui gestite la vostra azienda, come il COVID-19.
5. Non affidate il rispetto del GDPR a un solo dipartimento
Affidare la responsabilità della conformità esclusivamente al vostro reparto IT non è la soluzione giusta. Il GDPR riguarda vari settori e tutti i vostri dipendenti dovrebbero ricevere una formazione volta a capire come esso influisce su di loro e sui clienti.
Se disponete di un vostro team IT, questo è sicuramente in grado di gestire alcuni dei passaggi chiave che portano a una migliore conformità al GDPR. Ma se il vostro team IT deve gestire tutto, potrebbe non farcela. Il vostro personale IT deve anche tenere sotto controllo riparazioni e minacce ed essere pronto a rispondere a qualsiasi incidente di sicurezza. Un comportamento responsabile da parte dei dipendenti contribuirà notevolmente ad alleviare il carico di lavoro del personale IT.
6. Attenzione alla diffusione accidentale su Internet di informazioni sui clienti
Il monitoraggio delle fughe di dati ha prodotto molte informazioni sorprendenti. Anche se i dati dei clienti sono spesso considerati uno degli asset di dati più critici, soprattutto nel settore sanitario e finanziario, le aziende continuano a subire fughe di dati sensibili contenenti informazioni sui clienti, come i contratti di attivazione e gli ID.
Spesso accade per negligenza. Inoltre, questi dati vengono talvolta caricati su server pubblici per la condivisione gratuita dei file, da dove chiunque può scaricarli. E ci sono anche i darknet, dove i dati potrebbero essere venduti. Secondo il GDPR, i vostri clienti hanno il diritto di sapere quali dati vengono raccolti su di loro e persino di cancellarli. Assicuratevi di aver adottato misure di sicurezza sufficienti per tenere questi dati al sicuro da qualsiasi violazione.
________________________________________
Il COVID-19 ha creato misure speciali in relazione al GDPR?
Sì.
Il Presidente del Comitato europeo per la protezione dei dati (EDPB) ha rilasciato una dichiarazione in cui chiarisce che il GDPR consente ai datori di lavoro di trattare le informazioni personali nell’ambito di epidemie, come l'attuale situazione COVID-19. Il consenso dell'interessato non è necessario se il datore di lavoro può fare affidamento su adeguate motivazioni legali, quali motivi di salute pubblica e di interesse pubblico, o per proteggere interessi vitali.
Ad esempio, il datore di lavoro può richiedere ai dipendenti informazioni di carattere sanitario per assicurarsi che siano in grado di adempiere ai loro doveri. Qualsiasi informazione relativa al personale affetto da COVID-19, ad esempio, dovrebbe essere comunicata al resto del personale solo se necessario, ad esempio, per evitare che si diffonda ulteriormente. I dipendenti devono sapere che le loro informazioni saranno condivise e con chi. Il trattamento dei dati sanitari deve essere effettuato in conformità alle leggi nazionali.
Non dimenticate che le leggi in materia di protezione dei dati personali si applicano comunque a tutte le informazioni personali che un'azienda utilizza per il controllo di malattie o altri scopi. Pertanto, tutte le informazioni di carattere sanitario raccolte richiedono un grado di protezione maggiore. Dovrebbe essere chiaro ai singoli individui il motivo per cui un'azienda raccoglie le loro informazioni, il modo in cui vengono utilizzate e che non vengono utilizzate a scopo di lucro.
