COMPLIANCE AL GDPR: Le tue procedure aziendali sono efficaci?
L’efficace attuazione di un sistema di gestione privacy passa per procedure ed istruzioni operative che siano chiare, semplici e ben conosciute dal personale aziendale.
Molto spesso le procedure aziendali in materia di GDPR – data breach, esercizio dei diritti, privacy by design e by default, data retention e altre – non prendono in considerazione il reale svolgimento dei processi, si limitano a riportare articoli di legge e vaghe enunciazioni di principio. Mancano i fondamentali: chi ? quando ? come ?
Gli errori più frequenti, infatti, sono:
- lo scopo non è chiaro
- il documento è troppo lungo e complesso
- manca una chiara definizione delle responsabilità, del flusso delle attività e dei tempi da rispettare
- le istruzioni fornite restano vaghe
- la terminologia è troppo tecnica
Scrivere una buona procedura aziendale non è banale. La nostra esperienza ci insegna che è fondamentale rispettare i seguenti punti:
- redigere una bozza di procedura sintetica e semplice;
- definire bene le responsabilità, i tempi e il flusso. La procedura deve poter spiegare come funziona il processo anche ad un soggetto estraneo all’azienda;
- sottoporre la bozza della procedura alle figure apicali coinvolte e condividere con loro il flusso predisposto; sono fondamentali le revisioni dei soggetti che saranno chiamati a eseguire la procedura;
- una volta approvata la procedura monitorare il suo livello di attuazione per valutare se è efficace o necessita di aggiornamento;
- formare tutto il personale sul contenuto della procedura. Spesso le procedure aziendali non sono lette e conosciute all’interno dell’azienda;
- in fase di audit privacy, «interrogare» le persone per verificare che il contenuto delle procedure sia conosciuto.
Scrivici per maggiori informazioni.
Comments are closed.