Perché è importante la privacy policy aziendale

In materia di protezione dei dati personali uno degli strumenti a cui tutte le aziende, pubbliche e private, devono prestare attenzione è la privacy policy aziendale. 

La privacy policy aziendale è un documento recante tutte le disposizioni in merito all’utilizzo e al trattamento dei dati personali interni all’azienda da parte di dipendenti e altri soggetti appartenenti all’apparato aziendale. In sostanza, in questo documento ufficiale l’azienda stabilisce chiaramente per iscritto quanti, quali e in che modo i dati personali possono essere utilizzati. 

Dopo l’entrata in vigore del GDPR questo strumento ha assunto una notevole importanza che consente all’azienda di prevenire gravi casi di violazione privacy e ai dipendenti di osservare nuovi obblighi. 

Lo svolgimento della quotidiana attività lavorativa consente ai dipendenti e ai collaboratori un utilizzo rilevante dei dati aziendali che avviene tramite svariati dispositivi.  Di cosneguenza, prima di definire la giusta privacy policy aziendale, è opportuno che l’azienda identifichi e tutti i dispositivi (personali e aziendali) attraverso cui potrebbero attivarsi degli utilizzi illeciti dei dati.

Per essere più precisi, il discorso cambia a seconda che ci trovassimo nel caso di una piccola azienda piuttosto che di una grande azienda. 

Nella grande aziende, nel 99% dei casi i dispositivi e le tecnologie da censire sono quelle aziendali, ovvero quelle interne alla struttura aziendale, mentre nei nuclei aziendali di ridotte dimensioni i dispositivi a cui rivolgere l’opera di controllo variano in base all’organizzazione interna adottata.  

Una volta stabilite le disposizioni della nuova privacy policy aziendale vi è quindi un obbligo di informazione nei confronti di tutti i soggetti aziendali che può essere comunicata nelle modalità prescelte dalla azienda, a patto che siano le più chiari possibili. Tutti i dipendenti dovranno essere informati in merito a questo importante documento, che dovrà essere letto, accettato e sottoscritto.

 

La corretta gestione dei dati passa anche dai diversi dispositivi utilizzati dai soggetti interni all’azienda. Per regolamentare il giusto utilizzo degli stessi è indispensabile che le aziende ricorra ad un regolamento apposito da far visionare e firmare ai soggetti a cui è indirizzato. 

Nel documento deve essere specificato l’obbligo dell’utilizzo pertinente di tutti gli strumenti informatici come PC, tablet, smartphone, e-mail, fini legati all’attività lavorativa svolta. L’obbligo fa riferimento agli art. 2104 e 2105 del Codice Civile. 

In particolare, il dipendente dovrà mostrare diligenza, disciplina e massima responsabilità dell’uso dei dispositivi aziendali in dotazione, pena conseguenze di tipo disciplinare o persino penali.  

Tra le clausole più importanti contenute all’interno del regolamento aziendale vi sono il divieto di installare sul pc aziendale software esterni, modificare le impostazioni di sistema dello stesso pc e prevedere gli accessi agli stessi dispositivi tramite apposite password. 

Invece, per quanto riguarda la posta elettronica la questione si fa ancora più delicata in quanto l’account aziendale dovrà esclusivamente essere utilizzato a fini lavorativi, evitando in qualsiasi modo utilizzi privati ed evitare, prestando la massima attenzione, l’apertura di messaggi potenzialmente dannosi, con provenienza sconosciuta e/o sospetta.  Infine, è da sottolineare come il datore di lavoro o responsabile dei dati personali debba nell’immediato cancellare e disattivare l’account del dipendente oggetto della cessazione del rapporto lavorativo.

 

L’obbligo riguarda sia il titolare del trattamento dei dati e il responsabile del trattamento dei dati che ha il compito di occuparsi dei piani di formazione, nonché del loro costante aggiornamento, rivolti a tutte le figure aziendali e quindi i dipendenti. 

La conferma dell’esistenza di tale obbligo, sia per gli enti pubblici che per le imprese private, sono le diverse sanzioni previste dalla Legge in caso di inosservanza. 

Nell’art. 39 del GDPR si sottolinea l’importanza del ruolo del Data Protection Officer per la formazione, infatti è specificato che “Il DPO deve curare la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle attività di controllo. “

La norma in questo senso è dunque chiara e inequivocabile: vi è un obbligo di formazione di chiunque sia all’interno dell’azienda. 

Entrando nel dettaglio è l’art. 38 del GDPR "Posizione del responsabile della protezione dei dati" che fuga ogni dubbio:  “Il titolare e del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell'esecuzione dei compiti di cui all'articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.”

L’art. 39 del GDPR, d’altro canto, asserisce che il responsabile della protezione dei dati deve “informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati.”

La formazione privacy per i dipendenti non è facoltativa, ma è obbligatoria e in quanto tale, se le aziende non provvedono a fornirla in modo sistematico e coerente con quanto espresso dalla legge rischiano sanzioni amministrative fino al 2% del fatturato annuo (art. 83 GDPR). 

 

Per molte aziende, soprattutto quelle di grandi dimensioni, creare un documento, stamparlo, fotocopiarlo, e provvedere alla sua conservazione in appositi luoghi diventa oggi molto lento e dispendioso. 

A volte, non ci si rende conto di quanto denaro un’azienda spende per la gestione cartacea della privacy. Se ti interessa approfondire la riflessione ti consigliamo di leggere il nostro articolo Quanto ti costa la gestione cartacea dei documenti. 

Fortunatamente grazie ai processi di digitalizzazione i costi possono essere notevolmente ridotti e tutti gli obblighi derivanti dalla corretta osservanza al nuovo GDPR possono essere rispettati senza sprecare troppe energie, che potrebbero invece essere impiegate per altre attività aziendali. 

Con On Privacy la privacy ti costa meno e ti semplifica l’adempimento degli obblighi GDPR sfruttando la tecnologia e consentendoti di creare tutti i documenti privacy necessari e gestirli in forma digitale senza sprecare inutilmente soldi e carta!