Il Nuovo Regolamento Europeo sulla Privacy (GDPR), emanato lo scorso maggio ed in vigore entro fine maggio 2018, pone nuove questioni relativamente all’impiego di programmi software per l’elaborazione di dati personali, in particolare se si tratta anche di dati c.d. “sensibili” secondo la vecchia definizione del D. Lgs 196/2003.

Infatti il nuovo Regolamento Europeo sulla privacy (“Regolamento UE 2016/679 del Parlamento europeo”) impone alle organizzazioni che intendono effettuare trattamenti di dati personali di “progettare” il sistema in modo tale che sia conforme fin da subito (Privacy by design ) alle regole della privacy, spostando la responsabilità del corretto trattamento tramite strumenti informatici idonei sul titolare e sul responsabile del trattamento, quando identificato.

Nella pratica una organizzazione, prima di impiegare un applicativo software per trattare dati personali dovrà verificare che esso sia conforme ai requisiti stabiliti dal Regolamento UE 679/2016, ovvero che presenti caratteristiche di sicurezza adeguate per mantenere protetti i dati personali, compresa l’eventuale pseudonomizzazione dei dati personali, quando necessaria, e la cifratura dei dati stessi.

Il Regolamento parla anche di “certificazione” della privacy, che può riferirsi ad un singolo o ad un insieme di trattamenti effettuati da un programma software, oppure da tutti i trattamenti effettuati da una organizzazione. In quest’ultimo caso siamo molto vicini alla certificazione del sistema di gestione ISO 27001, anche se in realtà il GDPR intende qualcosa di differente. Al proposito è stato approvato da ACCREDIA lo schema proprietario ISDP©10003:2015 (conformità alle norme vigenti EU in tema di trattamenti dei dati personali)che conente di certificare un prodotto, processo o servizio relativamente alla gestione dei dati personali, quindi anche un applicativo software che tratta dati personali.

Lo schema di certificazione ISDP 10003:2015 risponde ai requisiti di cui agli art. 42 e 43 del Regolamento 679/2016 ed è applicabile a tutte le tipologie di organizzazioni soggette alle norme vigenti in tema di tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati. Lo schema di certificazione specifica ai “Titolari” e “Responsabili” del trattamento, soggetti ai vincoli normativi vigenti nel territorio dell’EU, i requisiti necessari per la corretta valutazione della conformità alle norme stesse.

Per maggiori informazioni su questo schema di certificazione si veda la pagina del sito Inveo http://www.in-veo.com/servizi/certificazioni-inveo/isdp-10003-2015-data-protection.

Ricordiamo anche che all’art 25, coma 2 il Regolamento sancisce che:

Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.

Rappresenta la c.d. Privacy by default: devono essere trattati “per default” solo i dati necessari a perseguire le finalità del trattamento posto in essere dal responsabile dello stesso, ovvero non devono essere trattati dati in eccesso senza che una persona fisica autorizzata lo consenta.

La certificazione introdotta all’Art. 42 può servire a dimostrare l’adozione di misure tecniche ed organizzative adeguate.

L’impatto di queste regole sugli applicativi software utilizzati per trattare anche dati personali è notevole: una organizzazione di qualsiasi dimensione che adotta un sistema informatico gestionale che tratta dati personali non in modo conforme al Regolamento UE 679/2016 di fatto rischia di essere sanzionata perché non ha adottato misure di sicurezza adeguate. Le responsabilità ricadono, in questo caso, sul titolare del trattamento e sul responsabile del trattamento, ove presente.

Dunque prima di adottare un nuovo software che gestisce archivi contenenti dati personali (a maggior ragione se vengono gestiti dati sanitari o altri dati c.d. “sensibili”) titolari e responsabili del trattamento devono valutarne la conformità alla normativa sulla privacy e questo può essere al di fuori delle competenze di chi decide l’acquisto di un applicativo software (responsabili EDP, Direttori Generali, ecc.), soprattutto nelle piccole e medie imprese o nelle strutture sanitarie di modeste dimensioni (es. Cliniche ed ambulatori privati).

La casistica di software che ricadono in questa sfera è vastissima, si va dai comuni ERP che trattano anche dati del personale, ai software per la gestione delle paghe, ai programmi per la gestione delle fidelity card, ai software impiegati in strutture sanitarie o quelli utilizzati dagli studi legali.

Oggi molti applicativi, magari obsoleti, non permettono di implementare misure di sicurezza adeguate (password di lunghezza adeguata, password di complessità minima variate periodicamente, password trasmesse via internet con connessioni crittografate, gestione utenti, raccolta di dati minimi indispensabili, gestione dei consensi, procedure di backup, ecc.) e in futuro il loro impiego diverrà non conforme alla normativa sulla privacy, ovvero non saranno più commercializzabili.

Da un lato i progettisti e gli sviluppatori di applicativi software dovranno considerare fra i requisiti di progetto anche quelli relativi alla normativa privacy, dall’altro le organizzazioni che adotteranno applicativi software (o che già li stanno utilizzando) saranno responsabili della loro eventuale non conformità al Regolamento Privacy. Sicuramente una certificazione di tali applicativi o un assessment indipendente potrà sollevare il titolare del trattameto dalle rsponsabilità (cfr. principio dell’accountability) connesse all’adozione di un software che non tratta i dati in conformità al GDPR.

Oggi molti imprenditori non sanno cosa fare per salvare la propria azienda che sta progressivamente perdendo fatturato, ma cosa hanno fatto finora?

Negli ultimi anni, da quando la crisi economica e finanziaria ha investito il nostro Paese più di altri, molte imprese hanno affrontato il problema proprio come lo ha affrontato il Governo Monti: rigore e tagli alle spese! Sembra che Governo e Imprese da una parte si scontrino perché queste ultime vorrebbero maggiori iniziative per lo sviluppo ed il Governo sta dando solo qualche “contentino”, mentre dall’altra parte si stanno comportando alla stessa maniera.Gli elementi che hanno provocato la crisi sono molteplici ed alcuni poco controllabili, chi avesse seguito la trasmissione SuperQuark di venerdì 7/12 (ancora disponibile sul sito web della RAI) avrà avuto l’occasione di apprendere in modo chiaro e semplice perché siamo dentro al tunnel della crisi. Se alcuni Paesi stanno crescendo più di noi (che siamo in piena recessione) ci sono ragioni sulle quali non possiamo influire – quali ad esempio la crescita demografica e le ricchezze del territorio – ed altre per le quali è colpevole la classe dirigente degli ultimi trent’anni e forse più. Nella classe dirigente sono compresi sia la classe politica ed i governi che si sono succeduti in questo lasso di tempo, sia chi ha creato e diretto le imprese italiane.

Ora è difficile recuperare in tempi brevi quanto si è perso a causa della corruzione, dell’inefficienza della Pubblica Amministrazione, della sottrazione di fondi pubblici da parte di appartenenti a vari partiti, dall’evasione fiscale e così via. Qualcosa si stava cercando di fare negli ultimi tempi, ma non basta.

Con queste premesse i margini per risollevarsi delle imprese italiane, prevalentemente piccole e medie imprese, sono ristretti. Da un lato si può sperare (e pretendere) non solo in riforme che ci allineino ai Paesi più virtuosi, non solo in tema di pareggio di bilancio, ma di rispetto delle regole e di equità, oltre che di investimenti per lo sviluppo da parte dello Stato. Dall’altro le imprese devono fare molto per essere più efficienti e tecnologicamente innovative e quindi guadagnare competitività a livello internazionale rispetto a chi ci precede.

Così come il solo taglio delle spese – comprese quelle per lo sviluppo, la ricerca, l’innovazione e la formazione – non potrà portarci da nessuna parte a livello di Paese, anche nelle imprese industriali e dei servizi tagliare il più possibile i costi può solo consentire (forse) di salvare il pareggio di bilancio oggi che cala il fatturato. Ma questi interventi non permetteranno di far crescere i ricavi domani, quando avremo perso ancor di più competitività, a causa delle maggiori inefficienze che avremo introdotto con i tagli alle spese ed agli investimenti, soprattutto in innovazione tecnologica di prodotto e di processo, ed a causa della demotivazione di personale poco formato.

Oggi è frequente vedere imprese che – a fronte di un brusco calo di fatturato – hanno le risorse sottodimensionate dalla ricerca di riduzione dei costi variabili e fissi per compensare i costi fissi elevati. Questo avviene sottraendo ancor più tempo all’organizzazione, o meglio alla riorganizzazione interna, necessaria per migliorare l’efficienza e, dunque abbattere in modo duraturo i costi variabili e quelli fissi.

In questo contesto molti piani di risanamento delle imprese falliscono miseramente perché non solo non portano ad un aumento delle vendite e dei ricavi, ma nemmeno riescono a frenare il calo del fatturato e, quindi, i finanziamenti richiesti alle banche o ad altri soggetti non producono “leva finanziaria”, ovvero non generano utile a tassi maggiori rispetto a quelli degli interessi del debito contratto.

D’altro canto molte piccole imprese (numericamente oltre il 90% del totale delle imprese, in percentuale maggiore rispetto agli altri Paesi guida europei) non hanno soldi nel vero senso della parola, ovvero oltre che della crisi economica, soffrono anche di profonda crisi finanziaria: il cash flow è ridotto al minimo, i clienti tardano a pagare (specie se Pubblici) e le Banche richiedono tassi elevati per finanziare l’attività dell’Impresa. Alcune imprese cercano investitori che non ci sono, del resto chi investirebbe in imprese dal fatturato in calo, poco efficienti, poco capitalizzate, senza “asset intangibili” di particolare valore (il know-how è nella testa delle persone, molte delle quali demotivate, e le risorse tecnologiche sono scarse e spesso mal impiegate da personale poco formato). Le condizioni al contorno (criminalità organizzata, corruzione, lentezza della Giustizia, costo dell’energia, difficoltà a far rispettare le regole, difficoltà nell’accesso al credito, burocrazia, ecc.) poi non favoriscono certo l’attrattiva agli investimenti delle imprese del nostro Paese.

Ma allora che fare? La ricetta vincente non esiste, ogni impresa fa storia a sé, se non altro perché ha un suo mercato ed è costituita di persone diverse dalle altre. Quello che a mio modo di vedere sarebbe importante fare è analizzare l’impresa da cima a fondo ed identificare le possibili aree di miglioramento che sicuramente ci saranno, bisogna sapere cosa si è disposti ad investire. Talvolta è necessario cambiare mentalità all’imprenditore o ai dirigenti/responsabili di primo livello per convincerli ad affrontare la crisi in modo diverso ed a dedicare tempo non solo a portare avanti le attività ordinarie (fare offerte, concludere le commesse di produzione o di servizio, consegnare i prodotti ed erogare i servizi), ma anche quelle straordinarie a cui non si è mai dedicato tempo finora: analizzare i processi ed identificare le relative inefficienze, eliminare attività non a valore aggiunto, ascoltare le esigenze del personale per risolvere i problemi, analizzare i sistemi informativi per migliorarli per rendere i processi più efficaci (ridurre i tempi delle attività e diminuire gli errori) ed efficienti (impiegare minor tempo delle risorse umane per svolgere la medesima attività), pensare all’innovazione dei prodotti e dei processi, cercare di migliorare la qualità del prodotto, motivare le risorse umane. Questo potrebbe essere più difficile che trovare finanziatori, ogni imprenditore vuole fare di testa sua: è questo uno dei motivi perché abbiamo tantissime piccole e microimprese, molte di più di tedeschi, inglesi e paesi nordici…perchè “piccolo non è bello”, più che altro è poco efficiente. Infatti nelle piccole imprese il personale è mediamente meno competente (dove per competente si intende un mix di istruzione scolastica, formazione professionale ed addestramento, esperienza lavorativa, conoscenze tecniche ed organizzative, capacità/abilità a svolgere determinati compiti), soprattutto relativamente all’utilizzo di sistemi informatici. Anche l’innovazione tecnologica, principalmente costituita dai sistemi informatici, nelle piccole imprese è di livello inferiore rispetto alle medio-grandi imprese. E tutto ciò si paga in termini di efficienza e quindi di maggiori tempi e costi per completare le attività ordinarie.

Allora la crisi della piccola impresa può essere affrontata cercando di dotarsi di strutture, organizzazione e tecnologie da grande impresa, visto che oggi i processi della piccola impresa non sono – come dicono alcuni piccoli imprenditori – più snelli di quelli della grande impresa e per questo più competitivi. Questo era forse vero un tempo, quando la maggior parte dei costi e del valore dell’impresa era concentrata sui materiali e sul processo produttivo (macchine, impianti e manodopera poco qualificata). Oggi, a parità di costi di materiali e manodopera,  la differenza la fa la competenza delle risorse umane ed i sistemi informatici, molto più importanti che un tempo, che permettono di svolgere le attività – magari non primarie, ma comunque costose – in tempi inferiori e meglio (con un prodotto di qualità migliore).

Ma se da un lato bisognerebbe investire di più in ricerca ed innovazione tecnologica per garantirsi un futuro migliore (in certi casi solo un futuro), dall’altro gli strumenti per uscire dal tunnel e salvare l’azienda sono metodi già noti da anni. Parlare di sistemi di gestione qualità, business process reengineering, controllo di gestione, KPI, balance scorecard, valutazione e motivazione delle risorse umane e di tanti altri sistemi per “fare le cose meglio” non è certo una novità, lo è invece applicarli nel modo corretto con una Direzione che ci crede perché crede nel cambiamento.