4 passi nel GDPR | Delaini & Partners
X
X
X

x
x
x

la figura professionale del DPO
La figura
x
X
x

x
x
x
x
X
x

Roberto Giovanni Loche

DPO & Privacy Specialist
rloche@rlsolutions.it
Mobile 331 2917 785
Progetti GDPR: la politica dei 4 passi

cosa fare e come procedere per adeguarsi



La scadenza fatidica del 25 maggio 2018 è passata e sulla normativa Europea della Privacy (GDPR) pare stia scendendo una specie di velo d’oblio.
Spariti i convegni, gli articoli, le tavole rotonde, dileguata la frenesia che in prossimità della scadenza aveva preso alla gola un certo numero – peraltro a nostro avviso piuttosto contenuto – di aziende italiane.
Qualcuno ha fatto qualcosa, altri si sono rivolti a Consulenti e poi hanno deciso di prendersela con comodo, altri ancora stanno privilegiando la politica dello struzzo: fino a ché non si ha notizia di qualche salatissima sanzione a qualche impresa italiana … vediamo di stare calmi.
Ma che cosa c’è da fare per essere effettivamente “compliant” al GDPR? Nella frenesia di questa scadenza forse si sono perse di vista la concretezza e la praticità. Abbiamo chiesto ad un professionista che sta portando numerose aziende delle dimensioni più svariate ad adeguarsi alla Norma una specie di piccolo “Vademecum”. Eccone un sintetico risultato.


Un progetto di adeguamento al GDPR non è una cosa da poco e nemmeno una azione di svolgere senza avere le idee chiare: si rischia di lavorare un sacco e di non conseguire nessuno degli obiettivi che ci si sono proposti, restando ben lontani dalla compliance al Regolamento Europeo 2016/679 General Data Protection Regulation, per tutti ormai GDPR.
La materia forse non è difficile ma è sicuramente complessa in quanto abbraccia attività di natura diversificata:
- la definizione delle responsabilità
- la traccia di tutte le attività svolte in relazione ai dati personali e le misure di sicurezza adottate
- il controllo di queste informazioni all’interno dei sistemi informativi
- la formazione e la sensibilizzazione di tutto il personale coinvolto
- le interazioni con le persone che ci chiedono conto dei loro dati personali che noi gestiamo.

Penso quindi che l’elemento cardine per ottenere il risultato in tempi contenuti e con investimenti limitati sia di iniziare facendo una analisi precisa degli obiettivi e dei percorsi per ottenerli, partendo dalla situazioni in cui la singola azienda si trova oggi.
Se vogliamo schematizzare il tutto, possiamo individuare il percorso attraverso “4 passi”:
  1. momento informativo
  2. macro assessment
  3. il progetto
  4. gli strumenti facilitatori
Di seguito entriamo un po’ più in dettaglio nelle attività.

1 - Chiarirsi le idee
Penso che sia opportuno affidarsi a uno specialista che possa fornire un quadro, in prima battuta semplificato ma comunque esaustivo, delle attività da fare.
Recentemente abbiamo iniziato ad organizzare assieme a D&P alcune giornate in giro per l’Italia, battezzate “Partner on the Road” e riservate alle società informatiche o a chi ha un reparto di sviluppo software interno. Ne abbiamo realizzato le prime due edizioni a Brescia e a Quarto d’Altino (Ve) e in una sola giornata abbiamo fornito ai partecipanti indicazioni chiare ed estremamente operative.
Poi ciascuno ha potuto procedere alle azioni successive con il supporto nostro o di professionisti di sua fiducia ma comunque avendo chiaro il percorso.

2 - Capire la nostra situazione
Una volta capita la teoria, ciascuno deve cercare di valutare quanto è distante dal raggiungimento degli obiettivi. Noi collaboriamo proponendo in prima battuta un questionario che aiuta a mettere a fuoco le criticità. In poche ore di lavoro e senza muoversi dalla propria sede, eventualmente con un nostro supporto telefonico, è possibile compilare le risposte e ottenere da noi due elementi:
- una valutazione di massima della situazione
- se richiesto, un preventivo per un intervento consulenziale.

3 - Gestire l'adeguamento vero e proprio
La compliance al GDPR comporta un vero e proprio processo fatto di una serie di passaggi. Per citare i principali:
- definizione dei ruoli nel processo, decisioni sulle nomine di responsabili e operativi coinvolti, individuazione delle autorizzazioni di ciascuno
- predisposizione di tutta la modulistica necessaria
- preparazione del registro dei trattamenti e risk analysis
- piano di formazione del personale coinvolto
- redazione del manuale di organizzazione e gestione della Privacy in azienda
Non si tratta di operazioni complesse ma vanno fatte con la massima attenzione al rispetto della norma: è abbastanza facile incorrere in qualche svista o trascurare un aspetto che può mettere in crisi la nostra gestione in tempi successivi.

4 - Formazione e metodologia
Il processo di adeguamento richiede una sensibilizzazione estesa a tutte le persone coinvolte, che (a vari livelli) possono essere parecchie.
Quindi ritengo indispensabile una formazione che coinvolga gli interessati, con una intensità e profondità che variano in funzione del loro ruolo e delle responsabilità in relazione alla Privacy. Evitare questo passaggio può comportare richi estremamente elevati.

E, per concludere ...
Siamo convinti che uno strumento informatico possa accelerare sia l’introduzione delle nuove “ abitudini” di rispetto della Privacy, sia operare da guida per chi in azienda viene chiamato a svolgere un ruolo di coordinamento o semplicemente operativo.
Abbiamo individuato alcune soluzioni software e abbiamo anche predisposto una serie di “template” indirizzati a settori merceologici specifici che possono aiutare in modo sostanziale le attività collegare al GDPR. A volte utilizziamo questi strumenti anche come “quaderno degli esercizi” anche perché contengono già esempi di modulistica, registri dei trattamenti e cose simili.
X

Alberto