Prospettive nella gestione dei documenti:

Transcript

1 Prospettive nella gestione dei documenti: impreparate, ignare, incuranti. Perché le aziende devono darsi da fare per essere all altezza delle sfide del Regolamento generale sulla protezione dei dati dell UE The power of memory

2 Il mondo dell imprenditoria ci sta mettendo troppo per prepararsi alla rivoluzione della protezione dei dati Dopo quattro anni di negoziazione, il 14 aprile 2016 l Unione europea ha adottato il Regolamento generale sulla protezione dei dati (GDPR). Entrerà in vigore a maggio 2018 e quindi è ora di prepararsi. L UE desidera riformare la protezione dei dati e dare un taglio alle imprese per le aziende in Europa introducendo una singola serie di norme. Inoltre il Regolamento ha lo scopo di tutelare i diritti dei cittadini europei attribuendo loro un maggiore controllo sui loro dati personali. Nonostante l entrata in vigore del regolamento ci sono prove evidenti che dimostrano che le imprese in Italia sono sorprendentemente impreparate e in alcuni casi sono piuttosto noncuranti dell impatto che ciò avrà. Questa è una questione che coinvolge tutte le aziende di qualsiasi dimensione in tutti i settori, non solo in Italia, bensì in tutta Europa. Tuttavia molte aziende nascondono la testa sotto la sabbia e temporeggiano. Ciò significa che probabilmente molte imprese semplicemente non saranno pronte quando il regolamento entrerà in vigore a maggio Non sono solo colpevoli di minimizzare la portata dei cambiamenti, bensì anche di sottovalutare il tempo necessario per implementarli. Non si tratta di una questione dalla facile soluzione. Adempiere al GDOR non è tanto semplice come installare un software per consentire l accesso, la modifica e la protezione contro le violazioni. Ciò implica un completo cambiamento della mentalità per molte aziende, un completo rinnovamento dei sistemi di gestione delle informazioni per altre, una rivalutazione delle impostazioni di sicurezza quali la criptazione e una seria formazione del personale. La privacy by design è un altra proposta chiave della legislazione che prevede che i principi della privacy siano incorporati nei nuovi sistemi fin dalla loro progettazione e che siano effettuate delle modifiche ai processi già esistenti. Crown Records Management ha incaricato un sondaggio per i responsabili decisionali senior per valutare quanto le aziende siano preparate e informate per quanto concerne gli imminenti cambiamenti. SEMBRA CHE L ITALIA NON SI SIA ANCORA RESA CONTO DEL COMPITO CHE LO ATTENDE Gli intervistati (tutti di società con oltre 200 dipendenti) provengono da una vasta gamma di settori: pubblico, assicurativo, bancario, contabile, legale, vendita al dettaglio, farmaceutico e facility management. Alcuni dei risultanti sono davvero allarmanti. UN INTERVISTATO SU CINQUE HA AMMESSO DI NON SAPERE NULLA DI QUESTI CAMBIAMENTI Un intervistato su cinque ha ammesso di non sapere nulla di questi cambiamenti. E oltre due quinti degli intervistati provenienti da società con un volume d affari superiore ai 500 milioni di euro hanno affermato che non sono preoccupati dell impatto della nuova struttura. Senza dubbio alcune di queste aziende ritengono di occuparsi già di molte delle questioni del Regolamento. Google, per esempio, ha già preparato il diritto di cancellazione consentendo ai cittadini dell Unione europea di richiedere la cancellazione delle informazioni obsolete su di loro dal motore di ricerca, basandosi sulla sentenza di un tribunale spagnolo. Alcune grandi aziende stanno già soddisfando il requisito che prevede la nomina di un responsabile della protezione dei dati. 2

3 Due aziende su cinque stanno introducendo un programma di formazione del personale Il 50% non sta rivedendo le proprie politiche Un terzo ha già nominato un responsabile della protezione dei dati Oltre due responsabili decisionali su cinque in aziende con un giro d affari di oltre 500 milioni di euro hanno affermato che non sono preoccupati dell impatto della nuova struttura È GIUNTO IL MOMENTO DI AUMENTARE LA CONSAPEVOLEZZA Per le società con un volume d affari superiori ai 500 milioni di euro dire che non sono preoccupate significa che non sono preoccupate di potenziali sanzioni fino a 100 milioni di euro, ovvero il quattro percento del loro fatturato complessivo. Per imprese di dimensioni minori queste multe potrebbero avere conseguenze gravissime. Forse è per questo che oltre la metà dei partecipanti al nostro sondaggio che lavora per aziende con un volume d affari di milioni di euro è preoccupata per il Regolamento. La domanda principale non è se le aziende sono preoccupate o meno, bensì se stanno agendo e si stanno preparando. Il sondaggio indica che molte imprese non si rendono conto dei vantaggi e dei rischi rappresentati dal Regolamento. Quasi la metà delle aziende a conoscenza del GDPR ha riferito che sta rivendendo le proprie politiche. Un terzo ha affermato di aver nominato un responsabile della protezione dei dati e due quinti stanno pianificando un programma di formazione del personale. Ma l altro 50 percento che non sta rivedendo le proprie politiche? E i due terzi che non hanno ancora un responsabile della protezione dei dati? Oppure i tre quinti che non hanno previsto nessuna formazione del personale e cambio di mentalità dell azienda? 3

4 I VANTAGGI RAPPRESENTATI DALLA PREPARAZIONE Preparazione al Regolamento generale sulla protezione dei dati dell EU I motivi a favore di un rapido intervento sono convincenti: 1. C è molto più da fare di ciò che pensiate Sono poche le aziende che possono essere sicure di sapere esattamente che dati possiedono, dove si trovano, come accedervi e se serve davvero conservarli. Ci vuole del tempo per trovare le risposte. Implementare le procedure corrette può richiedere più tempo di quanto si creda. Inoltre il GDPR indica chiaramente che si riferisce sia ai record cartacei sia a quelli digitali. Se siete una grande società che adempie già le norme sui dati potete ritenere di non avere alcun problema. Questa è una facile supposizione, ma si tratta di un errore. Le grandi aziende e quelle più vecchie possiedono un enorme quantità di carta, spesso conservata da terzi e accedervi non sarà semplice. 2. La buona amministrazione dai dati e considerarli come un asset può far aumentare i guadagni Essere in grado di accedere velocemente alle informazioni offre vantaggi commerciali significativi, così come eliminare in sicurezza i dati non necessari. Tenere meno dati non solo consente di risparmiare energia e costi per la conservazione nel drive, bensì può addirittura permettere alle aziende di ridurre le dimensioni dei propri uffici, con risparmio nei canoni di affitto. Al momento, conservare i dati oltre la data prevista è relativamente economico e viene considerata un opzione sicura, ma quando entrerà in vigore il GDPR i cittadini avranno il diritto di accedere ai loro dati e di richiedere la loro modifica. I costi aggiuntivi potrebbero essere ingenti anche se i dati in questione hanno poco valore per l azienda che li conserva. Analogamente i dipendenti nel reparto marketing, con una base di dati con double opt-in e una base clienti B2B possono sentirsi sicuri e conformi. Ma hanno idea degli altri reparti con schedari pieni zeppi di dati personali? 4

5 3. Incombe la minaccia di danno reputazionale se si è i primi a essere investigati Per una grande società sotto il radar delle autorità, dimostrare che si sta preparando significa assumersi presto le proprie responsabilità e ciò potrebbe essere utile per guadagnarsi la benevolenza delle autorità quanto le norme entreranno in vigore. Sicuramente gli organismi di regolamentazione desidereranno dare l esempio con le aziende non conformi. 4. Adempiere al regolamento costerà denaro e la maggior parte delle aziende avrà bisogno di tempo per pianificare le spese Quasi il 40 percento degli intervistati che sapeva del GDPR ha dichiarato di essere preoccupato per i costi necessari per l implementazione, e fanno bene a esserlo. I costi vanno dalla revisione dei dati, che non deve per forza essere costosa, all introduzione di nuova sistemi utilizzando nuovo personale (incluso il possibile responsabile della protezione dei dati) e alla formazione dei dipendenti. Potrebbe essere addirittura necessario effettuare degli investimenti. Per esempio, alcune aziende potrebbero dover ridisegnare le aree di ricevimento al fine di rendere meno visibili le informazioni private. Potrebbe essere necessario riconfigurare le basi di dati. Sono poche le organizzazioni che hanno veramente implementato un master data management e spesso presentano varie questioni conflittuali, quali le informazioni di contatto. Notoriamente i budget informatici sono già tirati all osso e quindi ci vorrà del tempo per trovare il denaro. Una nota positiva: le multinazionali dovranno attenersi a un solo compendio di norme e non a I clienti e gli azionisti staranno più tranquilli se sanno che vi state prendendo cura dei dati L interesse pubblico nel caso inerente al diritto di essere dimenticati, che ha visto Google e altri motori di ricerca obbligati da una sentenza di tribunale a rimuovere le informazioni personali obsolete dalle proprie ricerca quando richiesto, ha ottenuto moltissima pubblicità. Proprio come è successo con le storie di violazioni di dati a scapito di alcune delle più grandi società. In futuro la pressione sulle aziende affinché conservino i dati in sicurezza e li rendano accessibili e modificabili sarà enorme. È noto che i clienti internet sono volubili, si possono perdere tanto velocemente quanto si possono guadagnare. Le aziende che si mettono in evidenza per essere all avanguardia in ambito di protezione dei dati, ne trarranno sicuramente un vantaggio commerciale. Non si tratta semplicemente di adempiere, bensì che la gente sappia che si adempie. La privacy, in passato considerata una gradevole opzione, è diventata ora una necessità inevitabile. 6. Trovare presto un responsabile della protezione dei dati può far risparmiare denaro Il regolamento richiede che tutte le aziende nominino un responsabile della protezione dei dati. I migliori potranno sicuramente esigere un ottima retribuzione, quindi, probabilmente, più si aspetta, più costerà. Gli stipendi aumenteranno quanto più ci avviciniamo alla fatidica data e si sospetta che la maggior parte delle aziende aspetterà fino al mese prima dell entrata in vigore del Regolamento. 5

6 QUANTO TEMPO SARÀ NECESSARIO PER ESSERE PRONTI AL NUOVO MONDO DEI DATI? Forse la domanda principale che le aziende devono porsi è quanto tempo sarà necessario per prepararsi al Regolamento generale sulla protezione dei dati dell UE e quando si dovrebbe cominciare? Non c è una risposta semplice per la prima parte della domanda perché è necessario un programma continuo di riforma. Il tempo richiesto per tale preparazione dipende dai dati e da quanto deve essere cambiato. La seconda parte della domanda è invece molto più semplice: il tempo è il nocciolo della questione e prima si comincia, meglio è. La verifica dei dati può richiedere settimane, forse anche di più per le grandi aziende oppure se è necessario aggiornare i sistemi di legacy. Sarà necessario estendere i tempi previsti. La formazione del personale probabilmente durerà mesi e un cambiamento della mentalità aziendale anche di più. Quindi anche se il GDPR potrebbe essere applicato a maggio del 2018, l urgenza persiste. 6

7 Segue una breve guida su come Iniziare il processo 1. Iniziare con una verifica delle informazioni Se non sapete quali dati avete in azienda e dove si trovano, non c è niente da fare. Dovete includere sia i file cartacei sia quelli elettronici ai sensi del regolamento e ciò causerà seri problemi alle aziende. Se non effettuate la verifica non riuscirete a rispettare il regolamento. 2. Decidere che dati conservare L idea di conservare tutti i record per qualsiasi eventualità non è più fattibile perché con l espansione dell universo dei dati le basi di dati pesanti rallenterebbero presto i processi diventando così ingestibili. Un aspetto fondamentale della buona gestione dei dati consiste nel sapere quali dati sono utili e quali informazioni non hanno alcun valore o potrebbero addirittura implicare dei costi. Un problema comune, per esempio, è cosa fare con i dati vecchi di persone che non hanno deciso di aderire né chiamarsi fuori. Ora le aziende dovranno contattarli o smettere di utilizzare i loro dati. Come ci si mette in contatto con le persone che non sono più clienti? Ed è conveniente dal punto di vista dei costi e del tempo? 3. Distruggere in modo sicuro i dati non necessari Pochissime aziende ottengono un risultato perfetto in seguito alla revisione dei dati e quindi saranno richiesti degli interventi. Per le imprese potrebbe essere necessario distruggere i dati inutili, per esempio i dati che non servono più o che sono stati conservati oltre la data stabilità dalla rispettiva politica. Molte persone del settore prevedono che poco prima che l organismo di regolamentazione bussi alla porta ci sarà un periodo con moltissime distruzioni sicure dei dati. 4. Stabilire un budget per il responsabile della protezione dei dati e supervisionare la nomina Si tratta di una nomina chiave per le grandi aziende, ma anche per quelle più piccole che maneggiano un elevato volume di record personali. Per le aziende più piccole potrebbe essere necessario esternalizzare questo ruolo e i responsabili per la protezione dei dati specializzati potrebbero servire diversi clienti. 5. Iniziare la formazione del personale e rivedere la struttura di gestione delle informazioni La formazione del personale sarà fondamentale per soddisfare i requisiti del GDPR e per evitare la violazione dei dati. Dato che la maggior parte delle violazioni è causata dall errore individuale o da una cattiva procedura, bisognerà fare il possibile per garantire che tutti i dipendenti, a qualsiasi livello aziendale, comprendano l importanza della protezione dei dati. Tutti i dipendenti devono essere consapevoli, formati e devono agire come proprietari responsabili delle informazioni. Devono comprendere l importanza fondamentale delle password e della criptazione, della gestione dei diritti di accesso e della sensibilità delle informazioni. Gli aggiornamenti software e della sicurezza devono essere attuali. I datori di lavoro devono anche assicurare che la gestione del personale che abbandona l organizzazione sia attenta quanto quella del personale che viene assunto. 6. Adottare una procedura di segnalazione per le violazioni dei dati Il Regolamento imporrà anche delle severe direttive sulla rapida segnalazione delle violazioni. Per ottenere ciò tutti i dipendenti (e soprattutto quelli che trattano con i clienti) devono comprendere che cosa è una violazione e ciò che implica. Con termini tanto rigidi per effettuare la segnalazione, non è fattibile che la responsabilità di rilevare e segnalare la violazione ricada esclusivamente su un CEO o CIO. In queste circostanze molte aziende potrebbero scoprire che la loro struttura di gestione delle informazioni non è all altezza della situazione. È necessario che sia chiaro chi è il responsabile per ogni tipologia di dati all interno dell azienda. Inoltre l inclusione nel Regolamento di dati salvati fisicamente, per esempio record cartacei in schedari e archiviatori, può richiedere un aggiornamento delle politiche. 7

8 IL REGOLAMENTO INTERESSA QUASI TUTTI SETTORE INDUSTRIALE SERVIZI FINANZIARI FARMACEUTICA SETTORE SANITARIO LEGALE SETTORE PUBBLICO Il Regolamento generale sulla protezione dei dati dell UE interessa praticamente tutte le aziende in Italia che raccolgono e trattano i dati personali di cittadini europei. Ciò avrà un notevole impatto in tutti i settori e quindi merita attenzione fin da subito. È troppo facile dire che manca molto al 2018 o che adesso con la conferma dei dettagli è ora di fare il punto della situazione. La realtà è che c è poco tempo e che i cambiamenti necessari non sono cosa da poco. Questo è il momento di agire. Questo articolo è stato scritto da John Culkin di Crown Records Management. Se avete delle domande su questo articolo o se desiderate saperne di più su altri servizi forniti da Crown Records Management, siete pregati di contattare John scrivendo a jculkin@crownww.com 8