Giovanni Granatiero Commercialista e Revisore dei conti
I dati personali, siano essi riferibili gli attori economici o ai privati cittadini, sono ormai diventati uno dei pilastri fondamentali di una società che basa sempre più la propria struttura economica e sociale, sulla efficacia e sulla completezza delle informazioni possedute e scambiate. Ne discende in maniera diretta che tali dati necessitino di un adeguato sistema di protezione e controllo a cui tuttavia nel nostro paese arriva con ritardo e non per una presa di coscienza culturale, ma principalmente sotto la spinta degli altri paesi europei che da tempo chiedevano un allineamento normativo in questo campo. Il D.Lgs 196/2003 nasce con lo scopo di fornire agli operatori economici che trattano dati personali di soggetti terzi (siano essi persone giuridiche o persone fisiche) una griglia organica di regole necessarie alla corretta gestione delle proprie banche dati e allo stesso tempo, di definire in maniera netta i diritti riconosciuti ai titolari dei dati e gli strumenti di tutela degli stessi. E’ appena il caso di ricordare quali sono le linee guida contenute in questo testo.
In prima istanza il trattamento dei dati deve essere perfettamente individuato e chiaramente comunicato ai soggetti che forniscono le informazioni oggetto di elaborazione e agli stessi devono essere garantiti i diritti di accesso, modifica e cancellazione. Il secondo aspetto di questo testo è quello che maggiori problemi ha creato agli operatori. Si tratta di prescrizioni che genericamente si potrebbero definire come regole di organizzazione aziendale, volte ad indicare le corrette modalità di gestione interna dei dati e l’apparato tecnico minimo necessario ad un efficace svolgimento delle operazioni di trattamento. Questa fase è quella più problematica per gli operatori, che devono con assoluta chiarezza, determinare le specifiche caratteristiche dei trattamenti effettuati e progettare su di essi la propria struttura informativa.
Ciò significa individuare e distribuire con certezza i ruoli e le responsabilità all’interno della struttura e munirsi di tutti gli strumenti hardware e software necessari alla creazione di una infrastruttura informatica consona alle operazioni che si intendono fare sui dati al fine di garantirne la riservatezza e l’integrità per tutto il tempo in cui gli stessi sono gestiti. Nella fase di progettazione si possono trovare diverse difficoltà che partono già dalla corretta interpretazione della norma; infatti, il decreto utilizza come modello aziendale di riferimento quello di una organizzazione di medie/grandi dimensioni, nella quale è facile trovare le risorse e le strutture necessarie per organizzare correttamente il trattamento, mentre non ci sono indicazioni su come muoversi quando ci si trova di fronte ad organizzazioni di piccole dimensioni, che spesso sommano su poche figure tutte responsabilità aziendali interne, determinando almeno ad una prima analisi un conflitto con quanto espressamente stabilito dal legislatore. Il testo va quindi pesato anche alla luce delle successive interpretazioni fornite dal Garante, per evitare che una sua interpretazione troppo stringente finisca per imbrigliare a burocratizzare anche le fasi interne di gestione delle informazioni.
E’ evidente quindi che bisogna porre una elevata attenzione alla fase di progettazione o di adeguamento della propria struttura informativa, ma questo passaggio se correttamente e consapevolmente svolto, può produrre dei vantaggi che vanno ben oltre la semplice certezza di essere in “regola” con le norme. Mettere sotto la giusta luce e fare le opportune scelte in questa materia determina certamente una maggiore efficacia nella gestione dei dati, a vantaggio sia di una maggiore sicurezza per il proprio patrimonio di informazioni (Il vero tesoro di un operatore economico soprattutto nelle fasi di crisi), che della capacità di razionalizzare i costi di gestione, individuando colli di bottiglia e inefficienze che rallentano i flussi di lavoro e consentendo di concentrare gli investimenti solo sui trattamenti dati che producono ricchezza. Pertanto, se “la necessità di gestire correttamente i dati personali parte da un’imposizione legislativa, la stessa se letta in un’ottica proattiva, può servire ad aumentare il livello di efficienza di un’organizzazione”, trasformandosi in questo modo da un oneroso adempimento, in un oggettivo punto di forza competitivo per l’azienda o il professionista interessato.