Dal 19 settembre, con l’emanazione del Decreto Legislativo 101 per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679, il GDPR assume un ruolo ancor più determinante nel contesto italiano, ribadendo che le aziende hanno l’obbligo di seguire le nuove norme sulla privacy e sulla protezione dei dati. Se non adeguate, le imprese rischiano sanzioni (fino a 20 milioni di euro o il 4% del fatturato totale) e, negli ultimi mesi, c’è stata la corsa a mettersi in regola, spesso in modo grossolano. Non ha fatto così Mediagraf, azienda di stampa roto-offset, offset e digitale di Noventa Padovana, con oltre 150 dipendenti, che ha deciso di prendere sul serio la questione: «Fra le imprese si era creato un certo clima di “terrorismo” – ammette Angelo Juliani, HR Manager di Mediagraf –. Subito dopo l’entrata in vigore del Regolamento Europeo, il 25 maggio, circolavano informative incomprensibili e molti punti sono stati chiariti solo con il recente decreto attuativo. Data la complessità della materia noi di Medigraf abbiamo deciso di muoverci in modo ragionato, andando oltre la mera questione burocratica e cogliendo l’occasione di realizzare un vero cambiamento culturale».
Per affrontare l’adeguamento Mediagraf ha cominciato a documentarsi e informarsi sui fornitori per l’information security e la GDPR compliance nello specifico. La scelta è caduta su Securbee, società di Udine che si occupa di consulenza e servizi nell’ambito della cyber sicurezza, raggruppando al suo interno alcuni dei maggiori specialisti del settore. Insieme, Mediagraf e Securbee hanno impostato un percorso in quattro fasi che ha permesso di lavorare in modo efficace e con benefici per tutta l’organizzazione.
Fase 1: valutazioni preliminari – Il primo passo è stato quello della valutazione dello stato di maturità degli aspetti di privacy presenti in azienda, per cui Securbee fornisce un apposito servizio di GDPR Check Assessment: si tratta di capire quanti e quali dati personali sono presenti all’interno dell’organizzazione, per quale motivo sono raccolti, dove si trovano e chi li gestisce. «Questa fase è importante anche per evitare all’azienda dispendi inutili di energie e risorse, individuare i passi realmente necessari e le persone che occorre coinvolgere – spiega Manuel Cacitti, CEO di Securbee –. Con Mediagraf siamo partiti dall’acquisizione di tutti i documenti utili, primo fra tutti il Documento programmatico sulla sicurezza; successivamente abbiamo realizzato interviste ai responsabili dei diversi reparti e infine abbiamo fornito un report che evidenziava i gap da colmare per l’adeguamento al GDPR».
Fase 2: implementazione dei nuovi processi – Per la fase operativa Mediagraf ha continuato a collaborare con Securbee, forte di un team che era al corrente dello stato dell’arte all’interno dell’organizzazione e quindi poteva attuare interventi veloci e consapevoli. In questa fase, oltre a definire la propria politica di protezione dati, Mediagraf ha predisposto il registro dei trattamenti: «Uno strumento non obbligatorio, nel caso specifico di questa organizzazione, ma indispensabile per riassumere tutte le attività di trattamento di dati personali eseguite in azienda e facilitare il rapporto con gli organi di controllo in caso di ispezione» spiega Manuel Cacitti. Sempre in questa fase, Mediagraf ha predisposto l’accordo sindacale in vista del provvedimento del garante sulla videosorveglianza, accordo necessario in presenza di telecamere anche quando i dipendenti non vengono ripresi sulle loro postazioni di lavoro.
Fase 3: valutazione dei fornitori – Terminata la prima fase di lavoro e designato internamente il soggetto per il trattamento dei dati, un’operazione importante e delicata per Mediagraf consiste nel replicare queste attività per i responsabili (esterni). «La nostra azienda lavora con una serie di indirizzari per il recapito di riviste e altri materiali, e talvolta si rivolge a terzi per alcuni processi comeimbustamento e cellophanatura: questo ha rappresentato un aspetto critico nella gestione dei dati personali – spiega Angelo Juliani –. Dobbiamo quindi accertarci che i nostri fornitori siano in grado di trattare le informazioni dei clienti in sicurezza». Per farlo, Mediagraf ha messo a punto con Securbee un formulario e una serie di processi di verifica per assicurarsi della compliance dei fornitori.
Fase 4: aggiornamento delle politiche di IT security – Mediagraf possiede già un sistema di sicurezza dati e, nella quarta e ultima fase del lavoro sulla GDPR compliance, valuterà assieme a Securbee eventuali altre implementazioni tecnologiche per aumentare il livello di protezione, soprattutto in merito a data breach o portabilità degli stessi, cioè del trasferimento dei dati dei clienti a un altro fornitore.
In tutto questo percorso, la condivisione con i dipendenti e la formazione sono stati nodi cruciali. La funzione HR dell’azienda ha quindi lavorato di concerto con i responsabili IT, operando con una visione strategica. «Abbiamo affrontato la sfida non tanto per evitare sanzioni, ma per riordinare alcuni processi aziendali, e abbiamo deciso di fare le cose bene e con i tempi giusti – conclude Juliani –. Di questo vediamo effetti positivi già ora, con la crescita della consapevolezza dei dipendenti verso il business, a 360 gradi. E, per il futuro, mi aspetto ulteriori benefici».
L’attenzione alla sicurezza, inoltre, è un elemento importante per la competitività. «In Italia il cyber crimine, secondo il Rapporto Clusit 2018, causa danni per 10 miliardi di euro l’anno – sottolinea il CEO di Securbee Manuel Cacitti –. E al danno economico diretto per le aziende si aggiunge anche quello reputazionale, presso clienti, partner e fornitori che subiscono interruzioni del servizio o scoprono che i dati che li riguardano sono stati persi o trafugati».