L’importanza dell’adozione di policy aziendali in ambito privacy alla luce del recente provvedimento del Garante Pri...
Le policy privacy aziendali sono davvero utili per dimostrare il rispetto del GDPR?
Si, ma solo se sono efficaci ed effettivamente applicate in azienda.
Questa è la risposta che il Garante Privacy ha dato con il provvedimento 231/2019, con cui ha inflitto una sanzione amministrativa di 3 milioni di euro per l’illecito trattamento dei dati personali di clienti da parte di Eni gas e luce S.p.A..
Come si rispetta, in concreto, il principio di accountability?
Il rispetto del principio di accountability passa anche attraverso l’attuazione di un sistema organizzativo aziendale contraddistinto da misure di sicurezza efficaci per la specifica realtà aziendale del titolare e documentabili. Tra gli esempi di procedure citate dal Garante Privacy figurano:
- processi di mappatura dei trattamenti;
- regole per l’attribuzione di responsabilità;
- programmi di formazione del personale;
- procedure per la gestione delle richieste di esercizio dei diritti e dei reclami;
- policy per la gestione e comunicazione di data breach;
- previsione di audit interni ed esterni con cadenza periodica.
È sufficiente adottare policy privacy generiche per rispettare il GDPR?
Nel provvedimento 231/2019, il Garante Privacy ha rilevato diverse carenze nelle policy adottate da Eni gas e luce in ambito privacy e, soprattutto, ha rilevato la loro scarsa efficacia rispetto alle modalità concrete di lavoro praticate in azienda.
Per trattare i dati personali in conformità alla legge, pertanto, occorre che le società adottino un approccio dinamico e orientato al miglioramento continuo del sistema di gestione privacy interno all’azienda, che includa l’adozione e l’effettiva implementazione di policy aziendali efficaci per i propri processi aziendali.
