Minori e GDRP in salsa italiana
8 Aprile 2018
Show all

GDPR COSA FARE: GUIDA COMPLETA sulla scelta della giusta offerta

GDPR COSA FARE: obiettivo 25 MAGGIO 2018

GUIDA PRATICA: a chi affidarsi e come scegliere la giusta offerta per mettersi in regola

STORIA DEDICATA A CHI DEVE SCEGLIERE.

Mancano poco più che 2 settimane all’applicazione delle nuove norme sulla privacy e l’offerta di servizi è veramente alta come non mai, complice sicuramente l’altissima richiesta di mercato mista alla paura delle sanzioni, che oramai già tutti conosciamo. Siamo, da un lato bombardati costantemente di offerte, pacchetti, software per la conformità GDPR, e dall’altro da certificazioni, bollini, diplomi e chi più ne ha più ne metta, attestanti sia l’esercizio delle professioni di DPO, Privacy Expert, Privacy Specialist etc, sia la conformità della nostra attività alla nuova disciplina in materia di protezione dei dati. Ma allora, GDPR cosa fare? A chi affidarsi?

Siamo, nella maggior parte dei casi, di fronte alla più grande menzogna del nostro tempo. Dato che non ci capiamo niente, siamo pronti a passare la nostra patata bollente al primo che passa, molto spesso scegliendo in base all‘abito del monaco o ancor peggio in base al prezzo dell’offerta. Ci guardiamo intorno, contattiamo le 3-4 società di servizi o liberi professionisti che hanno il sito web più figo o la maggior presenza sui social, ci arriva la nostra bella offerta (o tre, a seconda della strategia di marketing), ci dicono che dobbiamo adeguarci quanto prima altrimenti siamo soggetti a sanzioni fino a 20 milioni di euro, che il 25 maggio è vicino e quindi non hai tempo per pensarci…tanto dovrai comunque farlo, che loro sono i n. 1 del mercato e che puoi contare sul loro bel pezzo di carta che hanno stampato il giorno precedente dopo 5 giorni di duro Master e che prontamente espongono in bacheca. Pochi giorni dopo, da completo ignorante in materia, leggi l’offerta e ti parte il bonifico. Magicamente sei felice, hai risolto il compitino che la legge ti impone.

Bella storia vero? La principessa bacia il ranocchio, questo si trasforma in un principe e vissero felici e contenti.

Ok. Arrivati a questo punto della storia, devi decidere cosa vuoi fare. “Pillola azzurra, termina la lettura, fine della storia: domani ti sveglierai in camera tua, e crederai a quello che vorrai, finchè il Garante lo vorrà. Pillola rossa, continua la lettura, resti nel paese delle meraviglie, e vedrai quant’è profonda la tana del GDPR”. (Adattamento della formula Matrix)

 

Pillola rossa

Se hai deciso di continuare con la lettura, fai parte di quel 20 % di persone che ci tengono veramente alla propria attività e sono alla ricerca delle giuste domande e non di verità. Complimenti!

Ma veniamo a noi: a chi affidarsi e come scegliere il giusto partner per mettersi in regola?

  1. Innanzitutto, attenzione a chi vi propone la nomina obbligatoria del DPO. Non tutti sono obbligati ex lege ed è pertanto utile distinguere l’aspetto dell’obbligatorietà da quello dell’opportunità;
  2. Non badiamo troppo a certificazioni, bollini, diplomi che possono essere certamente un indicatore di professionalità ma che debbono pur sempre basarsi su una base culturale e/o esperienziale preesistente . Se riteniamo di creare professionalità con un pezzo di carta ci stiamo sbagliando, soprattutto in un mercato dove non c’è nessuno, E LO RIPETO A GRAN VOCE, NESSUNO, che possa fornire un titolo abilitante alla professione di DPO, Privacy Expert, Privacy Specialist ecc ecc. Tieni in considerazione che la maggior parte di questi presunti certificati abilitanti si conseguono con una formazione approssimativa, di 4-5 giorni e senza nessuna base di conoscenze pregresse. Ti invito caldamente a verificare il tipo di certificazione, la qualità dell’insegnamento, la durata di questo e i requisiti di accesso al corso (come indicatore di conoscenze pregresse di base ai fini dell’accesso al corso professionalizzante);
  3. Offrire servizi in ambito privacy vuol dire avere conoscenze trasversali in ambito soprattutto legale ed informatico con altrettanti abilità di tipo manageriale, aziendale ed economico. Preferire un partner con un team eterogeneo è sicuramente la scelta giusta. Non a caso a me piace parlare non di “data protection officer (DPO)” ma di “data protection office“(DPO), come a sottolineare la natura ontologicamente multidisciplinare del “consigliere DPO”. Il capo dell’ufficio per la protezione dei dati personali sarà colui che si interfaccerà con i “capi dell’attività” (professionista,imprenditore, CDA…). E’ opportuno, a mio parere, lasciare il ruolo di capo del DPO ad un giurista, con conoscenze avanzate in ambito Tecnologico e Privacy, meglio ancora se Avvocato, perchè sarà l’unica figura ad avere vera consapevolezza giuridica, che è e resta la prima qualità utile in ambito privacy, di cosa vuol dire interfacciarsi con l’Autorità e nel caso anche con gli organi giudiziari;
  4. Incaricare risorse esterne è certamente la soluzione ideale se in azienda non sono presenti figure professionali ad hoc con capacità e tempo per seguire la cosa. Attenzione alla scelta degli esterni (che è il nodo cruciale della questione). E’ opportuno, soprattutto se non avete contezza di quello che va fatto, di chiedere una consulenza ad hoc e farsi seguire da un terzo professionista INDIPENDENTE . Inserire tra voi azienza (o libero professionista) e il partner che vi cura la compliance GDPR una risorsa o un professionista INDIPENDENTE è la soluzione che vi permetterà di essere al riparo da partner improvvisati che sfruttano la vostra ignoranza, l’emergenza e la paura per una scadenza vicina e sanzioni alte. La scelta del terzo, che ricoprirà il ruolo di vostro garante e controllore di fiducia, è qualcosa di estremamente personale: scegliete un professionista di fiducia, anche il vostro avvocato se ha conoscenze avanzate nell’ambito, e mettetelo in condizione di non avere nessun interesse nel rapporto con il partner da controllare!
  5. Questione tempo: quanto tempo ci vuole per adeguarsi e se oggi siamo in tempo per il 25 maggio?
    Dipende! Dipende da dove si parte. Se già eravate compliance a D. Lgs. 196/2003, avete adottato politiche particolarmenti virtuose nella gestione dei dati e sicurezza (tipo seguito norme ISO), avete piani di rischio, avete personale formato ed attento ecc ecc…beh siete già a buon punto. Da lì ci manca veramente poco. Nel caso vi foste invece fermati a D. Lgs. la strada è un pò più lunga! Non per colpa del GDPR, ma perchè negli anni magari alcune cose sono state sottovalutate ed oggi, con GDPR è semplicemente arrivato il giorno del giudizio;
  6. Aspetto economico: quanto costa adeguarsi?
    Come sopra, la risposta non potrà che essere DIPENDE. Se negli anni avete già investito budget in una delle attività suddette, allora il costo dell’adeguamente sarà basso. Se invece dovrete iniziare daccapo sarà un notevole esborso, non solo economico, ma di vision e di impostazione. Bisognerà cambire punto di vista e solo allora gli investimenti saranno utili. Se non sei pronto a cambiare il modo in cui hai sempre fatto le cose non c’è investimento monetario che regga! Tutti gli sforzi saranno vani o quanto meno non miglioreranno la tua compliance. Bisogna partire dalle basi!

 

Eccoci. Ora che sai quali sono le giuste domande, sei pronto al 25 maggio. Il tutto al netto di una normativa ancora carente in termini di coordinamento, di una giurisprudenza assente e di una prassi ancora in divenire.

Se già ti è partito il bonifico, ti invito caldamente a verificare il lavoro che è stato fatto. Affidarsi ad un soggetto terzo per un parere indipendente è quantomeno opportuno in questo momento storico di grande caos, dove stranamente i più grandi esperti si pongono le domande e gli improvvisati rispondono. Se invece ti stai guardando intorno solo adesso, potresti essere quasi certamente in ritardo, ma come dicevo, dipende da dove parti.

 

Scritto da Armando De Lucia – armandodelucia@dlp.legal
Informatica e Nuove Tecnologie dello Studio Legale DLP

Ogni diritto riservato

Comments are closed.