Quasi il 92% delle aziende utilizza un database per salvare informazioni su un cliente o su un potenziale cliente. Probabilmente sapete già che il sistema che si utilizza per salvare tutti i dati dei clienti deve essere conforme al GDPR. Ecco alcune aree di miglioramento per proteggere adeguatamente i vostri dati.
1. Basta pensare al GDPR come a un nemico
Da quando è entrato in vigore il GDPR, le violazioni del regolamento hanno minato molto la fiducia dei consumatori. Il numero di multe che alcune aziende hanno dovuto improvvisamente pagare ha spaventato molte società. Tuttavia, la fiducia è rimasta un bene fondamentale e il GDPR non è solo un altro irritante onere burocratico per la vostra azienda, in realtà contribuisce a costruire un rapporto di fiducia con i clienti. Pertanto, anziché avere paura, provate a immaginarlo come una guida che impedisce ai vostri clienti di negarvi i loro dati o di abbandonare completamente la vostra azienda. Ad esempio, potete iniziare a creare portali sulla privacy in cui i vostri clienti possono accedere ai propri dati e accordare il proprio consenso per i servizi personalizzati che trovano utili. O ancora, potete spingervi oltre e rendere più comprensibile la vostra informativa sulla privacy, dato che il numero di persone che leggono le informative sulla privacy dall’inizio alla fine è ancora piuttosto basso. Secondo un'indagine della Commissione Europea del 2019, solo il 13% delle 27.000 persone ha letto informative sulla privacy fino alla fine. La maggior parte ci rinuncia perché queste informative sono troppo lunghe o troppo difficili da capire.
Tutte le aziende online che hanno a cuore la propria identità digitale dovrebbero provvedere a informative sulla privacy concise, trasparenti e facilmente comprensibili per tutti gli utenti.
2. Assicuratevi che voi e i vostri colleghi comprendiate il termine "informazioni personali"
Suona strano o troppo semplice? Il significato di questo termine non è ancora completamente chiaro tra le aziende, pertanto è fondamentale definire correttamente cosa siano le informazioni personali.
Oggi, tutti noi lasciamo su Internet tracce di dati della nostra vita personale, come Hansel e Gretel che lasciano una scia di briciole di pane per ritrovare la strada di casa - ma chiunque potrebbe usare questi ciottoli per monitorarli. Le informazioni personali identificabili (IPI) non consistono solo in IBAN, carta di identità, e-mail e recapiti. Le IPI includono anche tutte le informazioni relative a una persona fisica identificabile, compresi i post sui social media, le immagini del profilo e gli indirizzi IP dei dispositivi.
In un'intervista, l'esperto informatico Jaroslav Oster ha sottolineato come la spiegazione chiara di queste sfumature debba far parte di una formazione efficace sul GDPR. "Le piccole e medie imprese stanno gradualmente iniziando a capire che la sicurezza delle informazioni non può essere costruita senza un'adeguata formazione dei dipendenti - i principali utenti dei sistemi informativi di un'azienda", ha spiegato.
3. Scegliere un buon DPO
Se la vostra attività comporta un monitoraggio regolare e sistematico delle persone interessate o il trattamento su larga scala di categorie speciali di dati come attività principali, allora dovete nominare un responsabile della protezione dei dati (DPO). La responsabilità principale dell'DPO è di garantire che tutti i processi che interessano i dati dei clienti siano conformi al GDPR - inclusi i dati del vostro personale, dei vostri fornitori o di qualsiasi altro soggetto a contatto con la vostra azienda.
Ma come si fa a sceglierne uno? Un DPO deve comprendere le implicazioni pratiche dei regolamenti in materia di privacy dei dati e sapere come valutare i livelli di rischio con soluzioni appropriate da presentare al management. Pertanto, il DPO dovrebbe anche avere ottime capacità di persuasione e di negoziazione per comunicare in modo efficace.
4. Conservare le prove di conformità
Prima o poi, potreste essere chiamati a spiegare come la vostra azienda tratta i dati. Utilizzate davvero i dati dei clienti per gli scopi per cui vengono raccolti? Bene. E siete pronti a dimostrarlo a un legislatore? Dovreste tenere traccia di tutte le fasi attraversate dai dati, dalla raccolta all'uso. Cercate di implementare tecnologie e processi di prevenzione delle fughe di dati che aiutino la vostra azienda a conciliare le informazioni tra sistemi e processi e a costruire un controllo più forte in grado di risalire alle tracce dei dati. Non dimenticate i dati che salvate offline. Questo vale particolarmente durante eventuali crisi che influenzano il modo in cui gestite la vostra azienda, come il COVID-19.
5. Non affidate il rispetto del GDPR a un solo dipartimento
Affidare la responsabilità della conformità esclusivamente al vostro reparto IT non è la soluzione giusta. Il GDPR riguarda vari settori, e tutti i vostri dipendenti dovrebbero ricevere una formazione volta a capire come il GDPR influisce su di loro e sui clienti.
Se disponete di un vostro team IT, questo è sicuramente in grado di gestire alcuni dei passaggi chiave che portano a una migliore conformità al GDPR. Ma se il vostro team IT deve gestire tutto, potrebbe non farcela. Il vostro personale IT deve anche tenere sotto controllo riparazioni e minacce ed essere pronto a rispondere a qualsiasi incidente di sicurezza. Un comportamento responsabile da parte dei dipendenti contribuirà notevolmente ad alleviare il carico di lavoro del personale IT.
6. Attenzione alla diffusione accidentale su Internet di informazioni sui clienti
Il monitoraggio delle fughe di dati ha prodotto molte informazioni sorprendenti. Anche se i dati dei clienti sono spesso considerati uno degli asset di dati più critici - soprattutto nel settore sanitario e finanziario - le aziende continuano a subire fughe di dati sensibili contenenti informazioni sui clienti, come i contratti di attivazione e i documenti personali. Spesso accade per negligenza. Inoltre, questi dati vengono talvolta caricati su server pubblici per la condivisione gratuita dei file, da dove chiunque può scaricarli. E ci sono anche i darknet, dove i dati potrebbero essere venduti. Secondo il GDPR, i vostri clienti hanno il diritto di sapere quali dati vengono raccolti su di loro e persino di cancellarli. Assicuratevi di aver adottato misure di sicurezza sufficienti per tenere questi dati al sicuro da qualsiasi violazione.