INTERVISTA

GDPR e document management, come tutelare la privacy ed essere compliant al regolamento

A oltre tre anni dalla data di attuazione del testo europeo sulla data protection, Simona Bosi, Senior Corporate Counsel di Canon Italia, fa il punto su come rendere a norma la gestione documentale delle aziende. Ecco come servizi e soluzioni dell’azienda si prendono cura della gestione dei dati personali per garantire conformità e creare fiducia negli utenti

Pubblicato il 22 Feb 2022

Immagine di Jirsak da Shutterstock

Pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016, il GDPR (Regolamento Generale sulla protezione dei dati personali 2016/679) è entrato in vigore il 24 maggio 2016, ma la sua attuazione è avvenuta a distanza di due anni, quindi a partire dal 25 maggio 2018. Sta quindi per compiere i suoi primi 4 anni una importante normativa che riguarda un elemento che in qualche modo tutti trattano, i dati personali. Con Simona Bosi, Senior Corporate Counsel di Canon Italia, facciamo il punto di quanto è successo sinora e vediamo come un accurato document management può aiutare a essere conformi a quanto stabilito dal GDPR.

Potrebbe ricordare brevemente qual è l’obiettivo del GDPR e fare un bilancio di questi primi anni di utilizzo?

Il GDPR si pone in un contesto nuovo rispetto alla precedente normativa della direttiva comunitaria del 1995 seguita, in Italia, dalla legge 675/1996 e successivamente dal Codice del 2003. Questo perché il GDPR uniforma la tutela delle libertà fondamentali del cittadino europeo e, attraverso la responsabilizzazione del Titolare del Trattamento, assicura che chi effettua un trattamento di dati personali si accerti che detto trattamento non possa ledere i diritti e le libertà dell’individuo.

Occorre dunque uniformarsi al principio di questa normativa, e non solo per una mera esigenza di compliance: trattando dati personali in modo da rispettare i diritti e la libertà degli individui significa anche consolidare la fiducia dei nostri clienti.

Pertanto, dal maggio del 2018 l’atteggiamento che le aziende hanno sempre più affinato, grazie all’attuazione del GDPR, è di non accontentarsi del consenso, come di una qualunque giustificazione giuridica per effettuare un trattamento di dati, ma di evolvere il proprio mindset da un concetto di “legalità” a un concetto superiore di “responsabilità”.

Canon, ispirata dalla propria filosofia kyosei – “vivere e lavorare insieme per il bene comune”, si è impegnata a diffondere questo messaggio e a creare consapevolezza e cultura tra i propri dipendenti.

Nel concreto, in che modo le aziende hanno integrato i principi del GDPR all’interno dei propri flussi di lavoro?

Garantendo sicurezza dei presidi informatici, chiarezza e condivisione delle procedure e dei flussi di gestione dei dati, responsabilizzazione dei gestori (inclusi i fornitori affidatari di una parte di trattamento) e competenza del personale.

Inoltre, il GDPR ci ha insegnato un eccellente metodo di autovalutazione preventiva (il privacy impact assessment) che è uno strumento guida per garantire un comportamento in linea con i principi chiave del Regolamento.

Infine, un controllo a scadenze regolari della compliance aziendale e un efficace sistema di comunicazione interna delle criticità o degli incidenti che possono occorrere permettono di identificare tempestivamente le aree di miglioramento.

Che ruolo ha chi si occupa dell’IT in azienda nei confronti della privacy dei dati, secondo quanto previsto dal regolamento?

Quello di predisporre misure tecniche adeguate a garantire la sicurezza dei dati conservati e di mettersi a disposizione di chi tratta dati personali al fine di predisporre misure di tutela proporzionate ai rischi connessi e peculiari di ogni trattamento, come emergono all’esito dell’esercizio di autovalutazione preventiva.

In generale, la preparazione del dipartimento IT e la tempestività di intervento, quando richiesto anche per valutare un possibile incidente di sicurezza, sono fattori vitali.

Certamente il dipartimento IT ha un ruolo fondamentale.

Il 70% delle aziende europee è stato vittima di almeno una violazione dei dati legata alla stampa. È quindi necessario ridurre al massimo il rischio che ciò accada. Come si può fare?

Ritorno al principio fondamentale del GDPR di responsabilizzazione del Titolare del trattamento, di rispetto per le libertà fondamentali dell’individuo e di garanzia per la libera circolazione dei dati.

In quest’ottica non è lo strumento, nel nostro caso un dispositivo di stampa, che facilita il rischio di perdita dei dati quanto piuttosto l’attenzione della persona che, se consapevole di questo rischio, porrà in essere tutte le misure tecnico-organizzative per evitarlo.

Lo strumento, certamente importante, viene dopo questo esercizio di consapevolezza, che comporta un costante investimento da parte delle aziende in informazione, formazione e infrastrutture IT.

I servizi e le soluzioni Canon consentono di proteggere tutti i documenti e i dati, in formato digitale o cartaceo, senza interferire sulla capacità degli utenti di accedere alle informazioni necessarie per svolgere il proprio lavoro. Ciò significa che sono sicuri dal punto di vista della progettazione, sottoposti a controlli di sicurezza secondo i più elevati standard del settore e focalizzati su tutti gli aspetti della sicurezza delle informazioni.

Questo approccio alla sicurezza non si ferma alla fase di vendita. Possiamo aiutare a proteggere i dispositivi di stampa e scansione per tutta la loro durata operativa, dalla configurazione sicura allo smaltimento, per garantire che i dati rimangano sempre protetti.

L’approccio olistico di Canon alla protezione delle informazioni permette di tutelarle indipendentemente dalla posizione in cui vengono consultate, gestite ed elaborate.

La stampante è connessa alla rete aziendale, quindi rappresenta essa stessa un punto di accesso ai dati. Come si può evitare una multa per violazione del GDPR?

La combinazione offerta da Canon di hardware sicuri by-design, dei servizi di Managed Print Service e di Workspace Collaboration Solution supporta un percorso di trasformazione digitale sicuro e aiuta a prendere il controllo dell’intero ciclo di vita del documento e dei processi correlati.

Indipendentemente da dove si trova il personale, questo approccio garantisce la sicurezza sia in cloud oppure optando per una soluzione on-premise, mantenendo le informazioni protette sia che si lavori presso l’ufficio sia altrove da remoto. Inoltre, i dispositivi Canon possono essere programmati con destinazioni server e norme di sicurezza impostate per garantire che i dati vengano archiviati, protetti e rimossi in sicurezza.

Automatizzare una bonifica dei dati aiuta anche a prevenire le violazioni, sia accidentali sia intenzionali. Soluzioni di archiviazione digitale centralizzate sono garanzia di protezione, backup e verificabilità completa delle informazioni.

Tutto ciò consente di implementare un’efficace routine che assicura la conformità dell’intera organizzazione al GDPR.

Sottoscrivere dei contratti di Managed print service può aiutare a essere conformi con le direttive dal GDPR?

Certamente, perché consente di adeguare la tecnologia all’evoluzione dell’ambiente di lavoro assicurando che personale esperto progetti la soluzione più confacente per il cliente, inclusa la sicurezza delle informazioni.

La sottoscrizione di soluzioni MPDS (Managed Print and Document Services) aiuta le aziende a ingegnerizzare adeguatamente le proprie infrastrutture IT, affinché i team di lavoro ottimizzino la propria produttività e collaborazione garantendo che tale opportunità non sia a discapito della sicurezza.

Che consigli darebbe a chi vuole essere sicuro di aver reso conforme le stampanti aziendali a quanto disposto dal GDPR?

Affidarsi alla competenza degli esperti in questo settore. Quindi rispondo con i principi della campagna Workspace di Canon che assicura il ciclo di stampa dall’acquisizione alla gestione fino alla protezione dei documenti.

Consentitemi di rispondere a questa domanda affermando cosa significa per me il rispetto del GDPR. La questione non si fonda sul rispetto di una regola per evitare una sanzione, bensì sul rispetto della fiducia che i nostri clienti hanno riposto in noi scegliendo il brand Canon e sulla volontà di partecipare a un più ampio progetto di tutela delle libertà fondamentali delle persone e della libera circolazione dei dati in armonia con l’evoluzione della tecnologia.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4