Per la rubrica mensile Ideas for Managers, abbiamo intervistato Andreas Spanó, IT Security Manager in Würth Italia, che spiega perché la protezione dei dati sta diventando un aspetto sempre più importante per le aziende di tutto il mondo e come si fa a proteggere i dati in una realtà grande e complessa come quella di Würth Italia.
Dove inizia e dove finisce la Privacy Policy?
La privacy policy è il documento principe, che informa le persone su come verranno trattati i loro dati. Questa deve rispondere almeno alle seguenti domande:
-
- Chi tratta, Quali dati, Per quale motivo?
- Chi li potrà vedere, per quanto tempo?
- A chi mi posso rivolgere in caso di domande?
Le informative devono rispondere a queste domande in maniera semplice e completa, ma purtroppo questi due termini non vanno sempre d’accordo. Infatti, un’informativa semplice rischia di non essere completa, mentre un’informativa davvero completa potrebbe risultare di difficile lettura per chi non è del mestiere. Bisogna quindi trovare un compromesso tra completezza e semplicità, in grado di creare trasparenza anziché confusione.
Quali sono gli errori proprio da evitare?
Credo che in generale l’errore più grave che si possa commettere in questo ambito è quello di sottovalutare la tematica. Infatti, per adeguarsi al Regolamento non basta aggiornare le informative privacy e le procedure aziendali, ma è necessario formare tutti gli utenti e stabilire dei processi utili a garantire un’applicazione proattiva delle norme in materia. Questo richiede l’acquisizione di know-how, il coinvolgimento costante di reparti diversi e l’impiego di risorse economiche.
Esiste una soluzione “comoda” per la gestione della privacy?
Non credo esista una soluzione “comoda” o “unica” per gestire la privacy. Infatti, ogni Società presenta delle particolarità di cui bisogna tenere conto, che possono andare a ribaltare completamente l’approccio scelto per proteggere i dati.
Le Società si differenziano per tipologia e volume di dati trattati, per sistemi informatici utilizzati, per numero di persone coinvolte nel trattamento, ma anche per la loro struttura organizzativa interna e per la loro disponibilità economica.
Un piano ben fatto deve tenere conto di tutti questi aspetti e stabilire un percorso di adeguamento specifico e personalizzato, in linea con i requisiti normativi e con le caratteristiche dell’azienda.
Come capire se in azienda si sta operando bene in questo ambito?
Uno strumento utile per verificare l’applicazione delle procedure è lo svolgimento di audit. Questi permettono di fotografare il processo in essere, facendo delle verifiche sia a livello quantitativo, quindi facendo dei controlli sui dati contenuti all’interno dei sistemi utilizzati per il trattamento, che a livello qualitativo, svolgendo delle interviste con gli addetti che trattano i dati in prima persona, in modo da comprendere a fondo tutte le implicazioni del processo.
Una volta ottenuta una fotografia del processo attuale, si procede alla pianificazione e messa in atto degli eventuali miglioramenti. Nella fase successiva il nuovo processo viene testato confrontandone i risultati con quelli attesi e se necessario questo può essere nuovamente modificato/migliorato.
Al termine di queste attività il ciclo si chiude e si riapre nel momento in cui si svolge un nuovo audit.
Come formare tutti i reparti aziendali interessati?
La formazione del personale è uno degli aspetti più importanti in assoluto per la protezione dei dati. Infatti, non c’è firewall o altra misura di protezione che regga davanti all’errore umano.
Nel nostro caso la formazione è stata portata avanti tramite corsi di formazione rivolti a tutti i collaboratori, i quali si sono tenuti sia in aula che in modalità e-learning. Questi sono stati successivamente integrati con campagne di informazione più specifiche, ad esempio sul tema della sicurezza informatica, nonché con dei manuali e delle video-guide, finalizzate a presentare in maniera semplice e intuitiva le corrette modalità di utilizzo dei vari sistemi aziendali.