Lavazza, coffee company, focalizzata sulla lavorazione e distribuzione di caffè di alta qualità, è una delle eccellenze italiane nel mondo, con ricavi per 2,2 miliardi nel 2019 (+18% rispetto al 2018), il 70% realizzati all’estero, oltre 4.000 collaboratori nel mondo, stabilimenti produttivi in Italia, dove a Torino si trova la capogruppo, e all’estero, tra cui Francia, Canada, Uk e USA, e una presenza in 140 Paesi attraverso consociate e distributori.
Si tratta dunque di una realtà di una certa complessità per quanto riguarda la gestione del regolamento europeo GDPR sui dati personali. Nel percorso ci accompagna la testimonianza del Data Protection Officer (DPO), Fabrizio Bicego.
“Lavazza ha trattato fin da subito il tema con estrema attenzione e impegno, nominando già a fine 2017, in anticipo rispetto all’applicazione del GDPR, un DPO di Gruppo e un team di lavoro dedicato (il Comitato Privacy), che opera per conto del Titolare sulle tematiche privacy”, esordisce il DPO. I concetti fondamentali espressi dal GDPR sono diventati per l’azienda i principi da cui partire nella costruzione del proprio modello operativo: accountability, privacy by design e by default, periodo di conservazione dei dati, analisi del rischio.
In parallelo sono state mappate tutte le policy e le procedure da definire e condividere e sono state effettuate le nomine per i soggetti che in azienda operano nelle funzioni che trattano dati personali e forniscono le istruzioni operative ai team di lavoro. “Nel Comitato Privacy è entrato fin dall’inizio anche il Chief Information Security Officer (CISO), per trattare, valutandoli e implementandoli, tutti gli aspetti relativi alle misure di sicurezza”, aggiunge.
Il percorso di adeguamento e le principali difficoltà incontrate
L’azienda ha deciso di adottare un approccio univoco per la Luigi Lavazza S.p.A. e per tutte le Consociate UE. Sono state condotte interviste a tutte le funzioni aziendali, al fine di evidenziare tutte le possibili situazioni in cui avviene il trattamento di dati personali.
Per ogni funzione sono stati identificati dei referenti interni, considerati gli owner del trattamento. Insieme a loro, sono state esaminate le caratteristiche dell’attività specifica: le finalità, la tipologia di dati trattati, i fornitori coinvolti da nominare come Responsabili esterni, base giuridica che giustifica il trattamento e il periodo di conservazione da applicare.
Questo approccio che ha coinvolto tutta l’azienda, per far emergere e mappare tutte le tipologie di trattamento di dati personali, è durato oltre sei mesi. “Si tratta comunque di un punto zero, perché il lavoro di verifica e aggiornamento degli stessi trattamenti è continuativo e costante nel tempo”, è il commento di Bicego, che indica fra principali difficoltà emerse fin dalla prima lettura del GDPR la definizione del periodo di conservazione dei dati personali, sia in formato digitale sia cartaceo, per le differenti funzioni e le varie finalità. Questa difficoltà, come vedremo in seguito, si è tramutata in un’opportunità.
L’analisi è stata condotta inizialmente per tipologia di trattamento dati (ad esempio dati del personale), successivamente si è passati allo sviluppo sui sistemi aziendali.
“Un altro aspetto non secondario è stato sviluppare, a livello aziendale, una sorta di cultura Privacy, ovvero sensibilizzare tutte le persone ad applicare, nella normale attività lavorativa, un modello che tenesse conto anche degli aspetti legati alla privacy”, sottolinea il DPO, facendo riferimento alla raccolta, al trattamento, alla conservazione ed all’eliminazione dei dati personali, in linea con la finalità che il trattamento si pone. “Abbiamo cercato anche di far percepire il DPO come una figura attiva da coinvolgere, per valutare sempre con attenzione la presenza di tematiche privacy da considerare in ogni attività e iniziativa”, aggiunge.
Quale struttura organizzativa e ruolo del DPO
Per realizzare la trasformazione necessaria per raggiungere la conformità rispetto al regolamento europeo il Titolare ha nominato Referenti interni a livello apicale in tutte le direzioni e a capo delle diverse funzioni aziendali. Il DPO, lavorando all’interno del Gruppo, resta il punto di riferimento che può essere facilmente contattato dai Referenti per condividere tematiche privacy e dai dipendenti per quesiti di vario tipo legati alle attività che vengono sviluppate. Ha inoltre la possibilità di muoversi in autonomia, facendo richieste o dando consulenze prima che un’attività che tratta dati personali venga realizzata.
“Il Gruppo ha dedicato molta attenzione all’informazione ai dipendenti sulle tematiche privacy, attraverso corsi di formazione online sul portale aziendale – sottolinea Bicego – Vengono inoltre fornite periodicamente delle “pillole privacy” attraverso la comunicazione interna, per affrontare temi ritenuti di particolare importanza o per condividere nuove policy e procedure”.
La selezione della soluzione
Vista la grande mole di informazioni da trattare, si è identificato un modello operativo privacy e si è sentita l’esigenza di uno strumento che gestisse il tutto in modo strutturato, semplice e veloce. Il Gruppo ha dunque deciso di dotarsi di un software dedicato, che presentasse dei repository specifici per ogni aspetto trattato nel GDPR: registro dei trattamenti, privacy by design, DPIA, richieste degli interessati, data breach, nomine firmate, DPA. Nella scelta del software, sono stati valutati diversi fornitori sulla base della competenza e della conoscenza dimostrata sul tema privacy e dell’esperienza accumulata negli anni, selezionando alla fine del processo quello che dava le maggiori garanzie sulla base delle richieste del GDPR. “Si trattava infatti di costruire un rapporto continuativo di fiducia, perché il software, essendo uno strumento dedicato a tutto il Gruppo a livello UE, richiede costanti adeguamenti alle varie esigenze che emergono nel tempo, anche in base alle differenze tra paesi sui decreti attuativi”, spiega il DPO. La scelta è così caduta sulla soluzione TesiSquare.
Benefici oltre la compliance GDPR
Il progetto GDPR ha portato alcuni benefici che vanno oltre la compliance. “Raccogliere unicamente i dati personali necessari (principio di minimizzazione) e conservarli solo per il tempo definito dalla finalità e allineato alla base giuridica, determina un efficientamento per tutta l’azienda – sottolinea il DPO, che esemplifica – Nel CRM si conservano i dati per il periodo definito dal modello, al termine del quale vengono cancellati; questo fa sì che i dati di contatto siano effettivamente utili e non dati inutilizzabili”. Allo stesso modo, i dati dei dipendenti, comprese le e-mail aziendali, restano archiviati per un arco di tempo condiviso e definito: questo comporta efficienza negli spazi sia a livello software che nell’archiviazione cartacea.
In futuro…
“Stiamo lavorando per completare l’implementazione a livello sistemico della conservazione dati. Continueremo inoltre ad applicare la struttura e le procedure definite, mappando a livello privacy tutte le nuove attività del Gruppo che trattano dati personali, con relativa valutazione del rischio e verifica, come da linee guida del Gruppo”, conclude Bicego ricordando anche che il Gruppo intende dotarsi delle BCR (Binding Corporate Rules), strumento che consente il trasferimento di dati personali dal territorio dello Stato verso Paesi terzi (extra-UE) tra società che fanno parte stesso gruppo.