Articolo a cura dell’Ing. Arturo Veneruso, socio CDTI
Come è noto dal 25 maggio 2018 è cogente il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, comunemente denominato GDPR, General Data Protection Regulation, che impone a tutte le organizzazioni, pubbliche e private della Comunità Europea, un trattamento attento ai dati personali, ovvero a quei dati che identificano, direttamente o indirettamente, la persona fisica con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Fin dai primi mesi del 2018 le organizzazioni, ognuna con i suoi tempi, hanno avviato interventi di adesione al GDPR, analizzando i dati personali e le loro modalità di trattamento nell’erogazione dei propri obiettivi istituzionali o di mercato.
Ogni organizzazione ha cercato di censire le categorie dei propri interessati, interni ed esterni, perché a loro appartengono i dati che necessitano dell’attenzione esposta nel GDPR.
In Italia l’indirizzo di adesione al GDPR è stato lento, ma con un’attenzione crescente, anche se tardiva, per un duplice motivo: la componente sanzionatoria amministrativa pecuniaria (art. 83 del Regolamento) da parte del Garante Privacy che sta avviando i controlli specifici sulle organizzazioni e le ripercussioni penali che possono essere eventualmente intentate dagli interessati alle organizzazioni. Motivazioni non certo entusiasmanti.
Sono stati comunque avviati progetti che, considerando i processi di business e di supporto delle organizzazioni, hanno approfondito gli ambiti coinvolti nel trattamento dei dati personali.
Sono stati considerati gli aspetti organizzativi, in termini di responsabilità e processi, gli aspetti tecnologici e le metodologie attuate nelle diverse fasi procedurali, l’acquisizione, la lavorazione, la gestione e l’archiviazione dei dati personali, individuando le misure tecniche e organizzative più adeguate per salvaguardare la riservatezza, l’integrità e la disponibilità degli stessi.
Per trarre il massimo vantaggio, pur considerando ed evitando le possibili sanzioni e azioni penali, il GDPR deve essere visto come uno strumento per il miglioramento del proprio business e della relazione con il proprio contesto di riferimento.
Infatti, l’organizzazione, da un lato pone l’attenzione agli interessati esterni, ovvero a quella categoria di stakeholder che, fruitori o meno del servizio erogato dall’organizzazione, incrementando il valore di servizio erogato, dall’altra è focalizzata sull’efficacia ed efficienza delle attività operative, valutando le opportunità di miglioramento, coinvolgendo in maniera forte ed invasiva anche i propri fornitori, in qualità di responsabili esterni.
L’applicazione del GDPR per i Fondi Interprofessionali
L’applicazione dei temi del GDPR rappresenta, quindi, anche per i Fondi Interprofessionali un’importante opportunità di crescita organizzativa e di servizio. In virtù del driver di riferimento, rappresentato appunto dai dati personali degli interessati, ovvero, prevalentemente dei fruitori dei corsi dei soggetti aderenti, il GDPR induce:
- alla definizione o rivisitazione dei processi di erogazione del servizio dal punto di utente, dalla progettazione degli Avvisi all’ammissibilità e valutazione ex-ante dei piani formativi presentati dai soggetti aderenti, dall’avvio, gestione e chiusura dei piani formativi suddetti al monitoraggio, dalla verifica in itinere alla e rendicontazione dei piani stessi
- ad una maggiore percezione da parte dei soggetti aderenti del valore aggiunto e dell’attenzione presente nei servizi erogati dal Fondo, inducendo, di fatto, ad una fidelizzazione sempre crescente e alimentando le adesioni dei soggetti appartenenti o meno ad altri Fondi
- alla definizione/evoluzione del sistema tecnologico (architettura, applicazione e dati) per l’erogazione del servizio ai soggetti aderenti. Tale sistema deve essere progettato con la massima attenzione per non incorrere ad accessi indesiderati che possono arrecare un notevole danno ai soggetti aderenti e di riflesso al Fondo, inducendo azioni sanzionatorie e penali
L’uso del GDPR come strumento per la gestione del Cambiamento
L’applicazione del GDPR, di fatto, induce un cambiamento e deve essere valutato per i benefici percepibili, alcuni dei quali sono:
- l’orientamento al cliente e alla propria organizzazione con un livello di informativo ampio verso l’utenza sulle modalità di erogazione del servizio e sull’adeguatezza di gestione dei dati personali. Tale orientamento fa comprendere al cliente come l’organizzazione cura con trasparenza e con attenzione l’erogazione del servizio.
- La definizione puntuale dei processi e delle attività operative dell’organizzazione, orientando il proprio personale nella cura e nel rispetto dell’esigenza di sicurezza e di riservatezza dei fruitori del servizio erogato.
- Il miglioramento della tecnologia impiegata nell’erogazione del servizio, con verifica dei livelli di sicurezza adeguati.
Il miglioramento del rapporto contrattuale con i fornitori, massimizzando le loro prestazioni in coerenza con i bisogni di sicurezza dei dati personali dei fruitori del servizio erogato.
Articolo a cura dell’Ing. Arturo Veneruso, socio CDTI
Gentili lettori, Vi ringrazio per l’attenzione e per approfondimenti rivolgersi a arturo.veneruso@studioveneruso.eu.