Di Raffaele Manfredi Selvaggi
Due interessanti articoli apparsi su Il Sole 24 Ore del 9 e 10 agosto aprono il dibattito e forniscono un utile quadro di insieme sulle cose da fare alla ripresa di settembre per adeguarsi alle nuove disposizioni europee in tema di protezione dei dati personali, in vigore dal 25 maggio 2018.
Con una efficace sintesi, sono richiamati all’attenzione: la nuova figura del Data Protection Officer (DPO); il registro delle attività; la maggiore trasparenza sulle finalità del trattamento dei dati personali.
Da un approccio formale alle regole occorre passare ad una gestione sostanziale dei rischi a cui sono potenzialmente esposti i dati dei nostri clienti, ma anche di altri importanti “stakeholders” come i soci, i dipendenti ed i fornitori.
La “riservatezza” rappresenta infatti uno dei valori fondanti della relazione intermediario/cliente, che affianca quelli della “fiducia” e della capacità di “comprensione dei bisogni” messi a dura prova dalle tante storie di risparmio tradito degli ultimi anni.
Cosa scrivere dunque nel piano di lavoro necessario per il nuovo progetto? Ecco la mia “to do list”:
- ricognizione della regolamentazione interna ed analisi dei gap rispetto alla nuova disciplina (verifica di impianto);
- individuazione di un referente interno in tema di privacy affinchè possa maturare per tempo le conoscenze e competenze necessarie per assumere la responsabilità di DPO (individuazione di un nuovo presidio di controllo);
- aggiornamento della valutazione dei rischi e analisi sull’efficacia degli strumenti di mitigazione già in essere (verifica di funzionamento);
- creazione di un gruppo di lavoro inter-funzionale, guidato dal futuro DPO ed aperto alla partecipazione di specialisti terzi in grado di fornire supporto metodologico e svolgere attività di project management (responsabilizzazione dei principali attori).
È possibile approfondire questi temi direttamente sul sito del Garante della Privacy.