Secondo i dati europei le piccole e medie imprese rappresentano il 99% di tutte le imprese attive nell’UE. Negli ultimi cinque anni, queste imprese hanno creato circa l’85% dei nuovi posti di lavoro e fornito i 2/3 dell’occupazione totale nel settore privato.
Anche queste imprese sono chiamate ad attuare il GDPR ed è una grande sfida. Specialmente per le piccole imprese che hanno grandi clienti ed elaborano informazioni molto importanti e delicate. È questo il nostro caso. Fiabilis è un piccolo gruppo internazionale che ha iniziato poco più di un anno fa il suo viaggio nell’adeguamento alla nuova cultura della protezione dei dati partendo da una politica di base e trasformandolo oggi in una priorità per la propria organizzazione.
Per dare un’idea di quello che abbiamo affrontato con determinazione, è necessario spiegare che operiamo nel settore dei servizi e più in particolare nei servizi HR e Payroll.
Il nostro obiettivo è quello di aiutare i nostri clienti a liberare risorse finanziarie attraverso un processo di payroll al massimo livello di efficienza e completamente controllato. Il payroll è – si può dire – la nostra nicchia di azione.
Abbiamo creato un concetto di business a livello di Gruppo, ma i nostri servizi sono fortemente legati al contesto locale. Di conseguenza ognuna delle nostre società nei diversi paesi ha il proprio team, la propria elaborazione dei dati e il proprio DPO. La nostra attività è strettamente legata alla normativa sulla sicurezza sociale e ai sussidi fiscali che non sono armonizzati in Europa. Ed è in questo contesto che abbiamo dovuto iniziare il nostro viaggio verso l’applicazione del GDPR.
Perché, sì, siamo un piccolo gruppo di servizi, siamo come la maggior parte delle aziende europee. Tuttavia, siamo unici per la categoria di dati che trattiamo.
Come la maggior parte delle aziende, trattiamo i dati personali dei nostri dipendenti, dei nostri potenziali clienti, dei nostri fornitori, dei nostri referenti, dei visitatori del nostro sito e per questo svolgiamo il ruolo di responsabili del trattamento dei dati.
Ma la natura dei nostri servizi richiede l’accesso e l’elaborazione dei dati dei nostri clienti, compresi i dati salariali, considerati come altamente confidenziali nella maggior parte dei paesi d’Europa.
In genere, dunque, per effettuare un audit dobbiamo avere accesso alle buste paga dei dipendenti dei nostri clienti o alla dichiarazione rilasciata al rispettivo Ufficio nazionale di sicurezza e previdenza sociale.
Ecco perché, l’istituzione di una politica di protezione dei dati solida ed efficace è stata da subito la nostra priorità fino a far parte, oggi, del DNA della nostra azienda.
E per farlo le sfide principali che abbiamo dovuto affrontare sono state tre: tempo e soldi; complessità della legislazione sulla privacy (compreso il GDPR che non prevede un’armonizzazione completa o un elenco unico di misure tecniche); il consolidamento di un cambiamento culturale nel nostro processo operativo.
Dunque, abbiamo innanzitutto lavorato tantissimo. Abbiamo coinvolto tutti i membri della nostra azienda e non solo i team operativamente interessati. Abbiamo lavorato molto su base locale e, pur se può sembrare insolito per un piccolo gruppo europeo, abbiamo scelto di nominare un Data Protection Officer per ogni paese.
Questo ci ha aiutato, all’inizio, a configurare misure di protezione dei dati adatte a quello specifico paese e ad affrontare, così, alcune differenze in materia di politica della privacy ancora presenti in diversi paesi.
Quello che però ha fatto la differenza è stato iniziare da subito ad attuare misure tecniche specifiche.
Il nostro viaggio verso il GDPR, infatti, non ha inizio con l’attuazione del Regolamento europeo. Il nostro percorso è iniziato prima con l’ottenimento delle certificazioni ISO. Questa è stata certamente la misura più efficace per conformarci in seguito al GDPR. Certamente è stato un lavoro duro, non solo per i nostri Team IT incaricati dell’attuazione delle misure tecniche, ma per tutti noi vista la quantità di documenti da conoscere. Il lavoro è risultato, però, virtuoso nel momento in cui abbiamo ottenuto le nostre certificazioni ISO che ci hanno permesso di implementare il GDPR in maniera più semplice.
Durante il nostro viaggio verso il GDPR, abbiamo adottato anche misure innovative e non comuni.
Volevamo che tutta l’azienda fosse consapevole del significato e dell’importanza dell’applicazione del Regolamento. Naturalmente, le persone chiave ne erano e ne sono assolutamente consapevoli, ma per noi è stato fondamentale rendere partecipi tutti del lavoro che stavamo svolgendo e che continuiamo a svolgere in materia di protezione dei dati. Abbiamo voluto che la cultura della protezione dei dati diventasse propria di ogni persona che lavora in Fiabilis. Per farlo abbiamo istituito giorni di ferie supplementari per chi raggiungeva un obiettivo in merito a questo tema, o ancora abbiamo impostato un gioco sulla protezione dei dati durante le nostre attività di Team building. E tutto questo ha funzionato.
Il lavoro di squadra e il coinvolgimento di tutti ci assicurano il rispetto della nostra politica di protezione dei dati: il percorso di conformità al GDPR non finisce mai, infatti, ci saranno sempre nuovi servizi o nuovi progetti da verificare, persone da formare o nuovi rischi da gestire. Ogni giorno può nascere una nuova domanda.
Oltre ad essere conformi al GDPR, ciò che conta, è che abbiamo lavorato molto per assicurare una delle cose più importanti per i nostri clienti e per il nostro lavoro futuro. I dati. I dati sono un asset e questa è una realtà. E pensiamo che questo viaggio comune dell’Europa in materia di protezione dei dati sia, fortunatamente, solo all’inizio.
