Privacy policy aziendale: i consigli per una regolamentazione interna sul corretto trattamento dei dati

Tra i documenti da preparare in un corretto processo di adeguamento c’è la privacy policy aziendale: se redatta correttamente consente di fissare regole chiare e renderle note a tutti gli utenti aziendali; ma soprattutto, rende chiaro cosa fare e annulla equivoci e azioni dei singoli

La privacy policy aziendale è uno strumento indispensabile, ma forse non troppo considerato, nel processo di adeguamento della propria organizzazione alla normativa vigente in materia di protezione dei dati.

Generalmente, invece, nel percorso verso la compliance al GDPR, sia in fase iniziale che in una di revisione si è spesso concentrati su alcuni adempimenti:

• informativa ai clienti;
• modulo di consenso;
• videosorveglianza e adempimenti correlati;
• regolamentazione dei cookie.

Come creare una privacy policy aziendale?

Occorre innanzitutto censire tutti i dispositivi che trattano i dati (personali o aziendali) e poi è importante creare la policy aziendale che indichi chiaramente cosa si può e cosa non si può fare con i dati dei clienti.

Come creare questa regolamentazione dipende ovviamente dalla tipologia di azienda e dal numero di dipendenti:

1. per realtà più grandi si pensa alla prevalenza di dispositivi aziendali che sono da gestire in modo diverso da quelli personali e che, magari, sono con controllo centralizzato per cui ho un controllo “facilitato”. Dunque, qui il censimento dovrebbe essere facilitato dall’appartenenza all’azienda dei dispositivi in dotazione al personale;

2. per realtà più piccole si può partire da modelli da adattare al contesto operativo in cui ci si trova.

Elementi comuni dei due casi sono:

1. aggiornamento periodico della policy (come le aziende imparano anche le policy si arricchiscono di tutti quei casi che, in fase di prima stesura, non erano stati considerati)

2. necessità di diffusione e conoscenza da parte di tutti coloro che operano in azienda. Senza tale elemento il rischio di incorrere in comportamenti inadeguati si alza anche sensibilmente.

Una modalità efficace è quella di partire da best practice per creare la regolamentazione e poi, durante le sessioni di formazione obbligatoria sul GDPR, spiegarla nel dettaglio raccogliendo, eventualmente, indicazioni su casi non previsti.

In questo modo si rende ancora più efficace il momento formativo e lo si sfrutta per eventuali aggiornamenti richiesti dal contesto.

 

Fonte: CyberSecurity360