MEDIAGRAF – I segreti per una serena GDPR compliance
Eseguire l’allineamento alla normativa passo dopo passo per migliorare il benessere del proprio business
Il General Data Protection Regulation, meglio noto a tutti come GDPR, ha chiamato le imprese a fare il punto sulle proprie modalità di trattamento dei dati personali. Mediagraf SpA, azienda padovana specializzata in stampa tipografica e digitale, ha deciso di prendere sul serio questo adeguamento normativo.
Sicuramente una scelta azzeccata per un’organizzazione che conta più di 150 dipendenti e uno stabilimento di circa 60.000 mq localizzato a Noventa Padovana. Nata nel 1986, Mediagraf SpA è infatti una tra le principali realtà nella stampa roto-offset e offset e dei servizi integrati per editoria, grande distribuzione, comunicazione e Terzo settore. Le radici dell’azienda poggiano sulla secolare tradizione del Messaggero di S. Antonio e della Tipografia Antoniana, pionieri nelle arti grafiche in Europa. Oggi Mediagraf è in grado di offrire un servizio completo dall’ideazione grafica alla stampa, dal confezionamento alla distribuzione: stampa 50 bobine al giorno, 16 miliardi di fogli, 1100 tonnellate di inchiostro, ponendo grande attenzione a politiche ambientali sostenibili anche nel lungo periodo. Infatti l’azienda e i suoi fornitori di carta e inchiostro sono tutti certificati ISO 14001 e EMAS, per garantire una corretta salvaguardia delle foreste.
“Abbiamo voluto affrontare la situazione con serietà – spiega Angelo Juliani, HR Manager di Mediagraf – e non solo perché imposta dall’alto, ma anche per poter sfruttare l’occasione al meglio, cercando di trarre benefici per l’azienda. Serietà dunque, ma non senza serenità, poiché abbiamo adottato un atteggiamento e un modus operandi tutt’altro che apprensivo rispetto alle richieste di adeguamento, nonostante si fosse ormai creato un clima di ‘terrorismo’!”
L’azienda si è trovata quindi a dover scegliere un fornitore per l’information security e nello specifico per la compliance al GDPR. “Informandoci e documentandoci, abbiamo visto in Manuel Cacitti, Senior Consultant securbee, una persona molto professionale e preparata, su cui poter riporre fiducia: abbiamo così scelto securbee e iniziato l’assessment” continua Juliani.
L’attività di assessment si è tradotta in una valutazione della gestione della privacy in azienda, attraverso un processo di mappatura delle informazioni utile a capire quanti e quali dati personali (comuni, indentificativi, sensibili, giudiziari) erano effettivamente presenti all’interno dell’organizzazione: provenivano dall’esterno e dall’interno? che caratteristiche avevano? dove si trovavano e chi li gestiva?
“Portare avanti un’attività consulenziale in questo ambito nasce dalla necessità di eseguire non solo analisi interne, ma anche di capire e valutare se le attività dei propri stakeholder siano in regola. Diventiamo quindi una guida per il raggiungimento dei risultati e per il mantenimento nel tempo degli stessi” spiega Cacitti. Il team securbee ha infatti acquisito informazioni e documentazione sui processi aziendali, primo tra tutti il Documento programmatico sulla sicurezza, per poter dare una risposta proprio a queste domande e, in caso di incertezze o per valutare il grado di consapevolezza interno, sono state realizzate interviste ai responsabili dei diversi reparti (acquisti e logistica, commerciale, amministrativo e sistemi informativi). Terminata l’attività di assessment, securbee ha redatto un report che ha evidenziato i gap da colmare per l’adeguamento al GDPR: “Abbiamo condiviso i risultati con i responsabili delle varie aree operative e deciso di procedere con l’effettivo allineamento al nuovo regolamento. Anche in questa fase dovevamo scegliere se affidarci a securbee o cercare un altro partner: avendo l’azienda udinese dimostrato competenza nella fase di assessment, abbiamo deciso di procedere con un team che era al corrente dello stato dell’arte all’interno dell’organizzazione, favorendo interventi veloci e consapevoli. Nella pratica per noi significava realizzare uno scheletro dei processi da implementare per il trattamento dei dati sensibili, ovvero dare nuove impostazioni di base all’azienda” spiega Juliani.
Il primo step, oltre a definire e rendere pubblica la propria politica di protezione dei dati, prevedeva la predisposizione del Registro dei trattamenti, strumento indispensabile per tracciare soggetti interessati, tipologia di trattamento, finalità, descrizione del fondamento di liceità, norma di riferimento, caratteristiche, termini di cancellazione e modalità di trattamento dei dati per le varie tipologie di soggetti (fornitori, clienti, dipendenti, stakeholder). Anche se non obbligatorio, nel caso specifico di questa organizzazione, è stato redatto perché riassume tutte le attività eseguite in azienda e facilita il rapporto con gli organi di controllo, in caso di ispezione.
Terminata la prima fase, è stato designato internamente il soggetto per il trattamento dei dati, oltre ad essere state avviate le attività per la nomina dei responsabili: tutti coloro, infatti, che trattano dati personali per conto di Mediagraf, e di cui l’azienda deve rispondere in termini di verifica dell’esistenza di adeguate misure di sicurezza, sono nominati responsabili. Questo perché alcune fasi di lavorazione, come l’imbustamento o la cellophanatura, vengono date in mano a terzi: l’azienda, attraverso l’invio di un formulario, si accerta che il fornitore sia in grado di trattare le informazioni dei clienti in sicurezza. Solo dopo aver terminato queste verifiche ed aver avuto esito positivo in termini di affidabilità, avviene la nomina e la predisposizione, per queste figure, di un registro dei trattamenti, portando a termine così anche la terza fase della compliance aziendale.
Ma il GDPR non richiede solamente di produrre documentazione: la quarta e ultima fase prevede infatti l’implementazione delle politiche di IT security. A prescindere dalla gestione della privacy, l’organizzazione possiede già un sistema di sicurezza dei dati e sta valutando eventuali altre implementazioni tecnologiche per innalzare ancora di più il livello di protezione, soprattutto in merito di data breach o portabilità degli stessi (trasferimento dati clienti ad un altro fornitore). “Per far sì che tutti questi cambiamenti siano veramente efficaci in azienda e per allontanare i rischi di comportamenti non allineati alle politiche di protezione, stiamo continuando a lavorare anche sulla formazione volta alla sensibilizzazione dei dipendenti coinvolti nel trattamento delle informazioni. Per mantenere la conformità al GDPR è infatti necessario un supporto costante, che individui gli interventi da fare in base ai cambiamenti esterni ed interni all’azienda” continua Cacitti.
“Abbiamo affrontato la sfida, non tanto nell’ottica di evitare delle sanzioni, ma per riordinare alcuni processi aziendali. In questo modo abbiamo dato importanza alla consapevolezza dei dipendenti, trascurata in gran parte delle aziende fino all’entrata in vigore del GDPR, quando ‘la privacy era fatta solo sulla carta’ e veniva vista come cosa inutile e burocratica. Aderire allo spirito del nuovo regolamento significa fare un salto culturale, in cui tempo e formazione saranno fattori determinanti” conclude Juliani.