Compliance

La compliance al GDPR può aiutare l’efficienza operativa delle aziende

L’integrazione nativa dei controlli di conformità può aiutare l’azienda a fare chiarezza sulla propria organizzazione e sull’efficienza della modalità di gestione dei propri sistemi e delle proprie forniture, consentendo di intervenire in maniera mirata sulle effettive criticità e sulle inefficienze

Pubblicato il 19 Gen 2021

Francesco Falcone

Senior Management Consultant Technology

gdpr sanzioni

Come l’applicazione del GDPR può migliorare i processi di business e l’operatività dell’azienda

In tempi di emergenza dovuti al covid-19, l’attenzione dei più si è concentrata prevalentemente nella gestione degli obblighi derivanti dai numerosi DPCM, e nella gestione del contact tracing, allo scopo di identificare le fonti di potenziale contagio per porle in quarantena e limitare la diffusione del virus. Tuttavia, passata la fase di emergenza, le aziende si troveranno a che fare con la necessità di affrontare un periodo di transizione, potenzialmente anche lungo, prima che il mercato riparta completamente e l’economia ritorni ai livelli pre-Covid, e ciò potrebbe comportare consistenti riduzioni del fatturato, che potrebbe non coprire le perdite dovute a eventuali chiusure forzate o perdita di produttività occorsa durante il lockdown, per le misure anti-contagio, che hanno comportato pesanti limitazioni, e per la conseguente contrazione dei mercati e dei consumi. Rivedere i propri modelli di comportamento interni e verso i propri utenti, integrando nativamente i controlli di compliance al GDPR, può aiutare quindi l’azienda a fare chiarezza sulle modalità “reali” di lavoro all’interno della propria organizzazione, rendendo più visibile quale sia l’effettiva efficienza dei propri processi interni, della modalità di gestione dei propri sistemi e delle proprie forniture e portando alla luce colli di bottiglia e inefficienze operative, che potranno più facilmente essere rimossi o almeno contenuti.

GDPR compliance

Una ripartenza graduale con l’adozione di nuove tecnologie digitali

Inoltre, è prevedibile che la ripartenza avverrà in maniera graduale, ma difficilmente ci riporterà a una situazione identica a quella pre-Covid, visto che le filiere produttive avranno subito contraccolpi anche pesanti, e le abitudini dei consumatori saranno state nel frattempo modificate da nuovi modelli di comportamento acquisiti (si pensi ad esempio alla diffusa adozione dello smart working, e alla maggiore adozione del commercio elettronico).

Appare quindi evidente che le aziende dovranno necessariamente rivedere la propria situazione economica e i propri budget di spesa, alla luce della mutata situazione del contesto. In questo scenario, appare evidente che le società più “efficienti”, subiranno meno contraccolpi, avranno minori difficoltà nello sfruttare la ripartenza del mercato e potranno cogliere prima e meglio delle altre le opportunità date dalla ripresa economica.

Non sono purtroppo molte le aziende che hanno piena consapevolezza dei molti ostacoli al miglioramento della propria produttività dovuti ad inefficienze interne, spesso consolidate dalla scarsa propensione ad una vera autoanalisi critica, e dalla difficoltà nell’adottare modelli di comportamento basati più sull’efficienza nel raggiungere gli obiettivi aziendali e sullo snellimento dei processi per rispondere prima e meglio alle esigenze di mercato.

Inoltre, molte aziende apportano molti cambiamenti per meglio rispondere all’uso delle nuove tecnologie e ai cambiamenti di mercato (si pensi alla migrazione verso il cloud e alla digital transformation), ma senza una adeguata verifica su come queste trasformazioni abbiano influito sui propri processi interni e sulla modalità di lavoro, spesso non più adeguate a tali trasformazioni e quindi inefficienti.

gdpr compliance

L’esigenza di monitorare la conformità al GDPR

Un’organizzazione in grado di monitorare adeguatamente la propria conformità a GDPR, dovendo avere piena consapevolezza sul trattamento dei dati personali all’interno della azienda, ma anche presso i propri fornitori, dei ruoli all’interno della propria struttura, dei sistemi, dei flussi, e della rispondenza dei trattamenti alle vere esigenze di business, è anche in grado di monitorare le modalità di gestione “reale” dei processi, la funzionalità dei sistemi e della catena di fornitura.

Ciò consentirà all’azienda di avere una maggiore consapevolezza sulla propria efficienza operativa e di riorientare le priorità e indirizzare i budget dove sono più opportuni, riducendo gli sprechi e focalizzando l’attenzione sulle necessità reali, migliorando quindi la produttività interna per ottenere risultati economico-finanziari migliori, e con meno rischi.

L’aumento di produttività che ne conseguirà, migliorerà la competitività dell’azienda, aiutandola a rimanere sul mercato anche in tempi di crisi economica.

Tra i tanti benefici portati dal GDPR, voglio indicare a titolo esemplificativo, quelli legati a due attività chiave per la conformità:

  • Accountability e Registro dei Trattamenti
  • Privacy By Design

Accountability

In un contesto in continuo cambiamento, spesso spinto dalle nuove tecnologie o dalle diverse situazioni di mercato, alle aziende viene chiesta una maggiore flessibilità, che spesso costringe le aziende ad adattare la propria organizzazione e i propri sistemi molto velocemente, e con poco tempo per ragionare.

Questi cambiamenti, ad esempio, possono essere dettati dalla necessità di digitalizzazione di alcuni servizi, come dall’eventuale adozione di modelli di servizio basati sul cloud, o dalla introduzione di tecnologie totalmente nuove.

I servizi, interni o esterni che siano, sono trasformati in conseguenza per adattarli alle nuove esigenze, creando, ove necessario dei ruoli ad hoc.

Tuttavia, è frequente il caso in cui i processi aziendali, non siano completamente adattati ai cambiamenti, e continuino a convivere con l’azienda per anni, diventando a volte più un ostacolo nell’esecuzione di attività, che rimangono più formali che effettive, invece di rappresentare una garanzia di qualità dei processi.

In particolare si nota che, nell’apportare i cambiamenti, le aziende tendono a concentrarsi di più su quelli che hanno un impatto diretto sul business, ma tendono a prestare minore attenzione ai processi interni legati alla propria gestione operativa per mantenerne l’efficacia nel tempo. In tal caso l’azienda si trova spesso interno ad affrontare al proprio interno problemi di mancanza di accountability.

Ad esempio, il personale può trovarsi a non avere un’idea chiara di chi e come debba portare avanti una certa attività interna legata a un business che è stato diversamente gestito (come capita ad esempio nel caso in cui una parte dell’attività sia portata in cloud, e pertanto gestita parzialmente fuori dal controllo diretto dell’azienda stessa), con ciò alimentando confusione e inefficienza nei comportamenti .

Registro dei Trattamenti

Un consistente aiuto per le aziende per riallineare i processi interni alla mutata situazione, avviene dal GDPR, durante la revisione periodica del Registro dei Trattamenti.

Un corretto aggiornamento dei Registri di Trattamento, dovrebbe, infatti, contenere l’intero elenco dei processi di business aziendali, e la chiara indicazione delle responsabilità e una precisa consapevolezza dei compiti attesi per il trattamento del servizio per ogni processo interno, oltre all’identificazione a cascata di tutti i relativi sottoprocessi, fino al raggiungimento del livello necessario per una corretta gestione operativa dell’intero trattamento dei dati.

L’identificazione certa di responsabilità e compiti aiuterà quindi a verificare la bontà di tutti processi interni collegati al business principale, evitando le incertezze su chi ha il compito di fare cosa, e riducendo i gap tra le attività pianificate e quelle fatte effettivamente, perché non nella responsabilità precisa di qualcuno.

Altresì, un’attività di verifica siffatta, consentirà di portare alla luce tutti i gap legati ai tradizionali problemi di continue riorganizzazioni, come ad esempio ruoli rimasti scoperti, gestioni ad interim che dovevano essere temporanee ma diventano semi definitive, processi effettuati senza alcuna formalizzazione, e portati avanti per abitudini consolidate, attività previste ma non gestite, attività previste in una modalità, ma realizzate con una modalità differente, e si potrebbe andare avanti ancora a lungo ..

La revisione periodica del Registro dei Trattamenti, se ben fatta, consentirà anche di identificare le corrispondenze tra le attività di business, e i vari sistemi e fornitori, per tutta la catena di fornitura.

A questo proposito, hanno migliori risultati in termini di efficienza operativa, le aziende che hanno una gestione efficace di Data Governance, che hanno quindi piena consapevolezza della corrispondenza tra i processi di business e gli asset, digitali e non, ad essi legati, ottenendo in cambio una migliore capacità sia di valutare i rischi per il business connessi ad eventuali problemi operativi sugli asset, sia di gestire sia gli impatti sul Business quando tali problemi si verificano .

Privacy by design

La privacy by design è una delle attività legate al GDPR che meglio consente a una azienda di rimanere efficiente nel tempo. La necessità di valutare i rischi legati alla privacy, imposta da GDPR, se implementata adeguatamente, mette in condizioni l’azienda di essere pienamente consapevole non solo di tutte le attività effettuate al proprio interno e delle tipologie di dati trattati in ogni situazione di impiego, ma anche a fare valutazioni di merito sulle tecnologie e sui livelli di sicurezza e privacy adottate per i nuovi servizi o in caso di cambiamenti rilevanti ai propri servizi.

L’enorme vantaggio dato da una gestione efficiente della privacy by design sta quindi nella migliore consapevolezza delle attività “operative”, che sono effettuate sui propri dati, ma anche dei propri livelli di sicurezza e di rischio privacy nelle varie condizioni d’impiego. Il che consente di ottimizzare gli investimenti in sicurezza e data protection, esattamente lì dove c’è il maggior rischio, e quindi la maggiore necessità.

Un altro vantaggio della implementazione della privacy by design, in sinergia con quanto sopra detto per l’accountability, è quello di identificare immediatamente tutti i cambiamenti interni all’azienda nel momento in cui avvengono (sia organizzativi che tecnici) che possono avere influenza sulla gestione dell’accountability e del Registro dei Trattamenti, consentendo all’azienda di essere sempre consapevole della situazione reale. In un’epoca in cui le aziende hanno necessità di avere tempi di risposta più rapidi rispetto al mercato, ciò equivale a un vantaggio non da poco.

Inoltre, è da considerare che l’identificazione “proattiva” e anticipata di eventuali problemi di gestione, dovuti a livelli di sicurezza e privacy insufficienti, consente di risolvere problemi prima che vi siano danni per l’azienda.

È acclarato, infatti, quanto sia meno costoso prevenire problemi di gestione e di sicurezza, intercettandoli e risolvendoli in fase di design, rispetto alla sistemazione degli stessi problemi a posteriori, dopo che i servizi sono “live”, con conseguenti impatti per il proprio business.

Una corretta applicazione del principio di privacy by design offre la possibilità di valutare in maniera estensiva tutti i possibili rischi e di adottare misure di contenimento dei possibili danni in maniera preventiva, ma altresì offre la possibilità, avendo contezza di tutte le problematiche, di adattare i processi interni fornendo indicazioni per la gestione “sicura “dei dati, di facilitare i collaboratori nella adozione di best practice di sicurezza e data protection, di identificare le eventuali necessità di snellire i processi di gestione nell’adozione di un nuovo servizio .

Conclusioni

In definitiva, l’integrazione nativa dei controlli di conformità a GDPR, può aiutare quindi l’azienda a fare chiarezza sulla propria organizzazione e sulla reale efficienza della modalità di gestione dei propri sistemi e delle proprie forniture, consentendo di intervenire in maniera mirata sulle effettive criticità e sulle inefficienze, invece di fare costosi interventi a pioggia.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

F
Francesco Falcone
Senior Management Consultant Technology

Articoli correlati

Articolo 1 di 4