E’ la domanda in assoluto che mi viene posta più spesso: ma come si svolge un giusto adeguamento privacy-GDPR? O quanto meno, come un professionista si approccia all’adeguamento. La mia risposta è sempre la stessa: ve la riporto di seguito.
Mettetevi comodi ed iniziamo. Non sarà breve!
Non esistono pacchetti, non esistono programmi, non esistono App automatiche che permettano il corretto adeguamento privacy della tua organizzazione. Come non esistono tante altre cose che tentano di venderti!
C’è solo un modo per farlo ed è quello di intervenire in modo mirato e personalizzato. La norma non ammette un adeguamento preconfezionato (quell’abito taglia unica che va bene un po’ per tutti, per intenderci!). Se ti hanno proposto un pacchetto del genere stanne alla larga. Non si tratta di un pacchetto ma quasi certamente di un…pacco!
Non sappiamo più come dirlo. Tutta la comunità scientifica è d’accordo su questa linea.
Perchè vi dico tutto questo? Perchè io ho l’obbligo di dire le cose come stanno, di essere trasparente, seguo un CODICE, il codice deontologico forense. Sono indipendente, non dipendo da nessuno se non dai miei clienti, non prendo percentuali da nessuno per vendere il pacchetto ” GDPR all inclusive 4 stagioni” o “il software gestionale privacy”, non ho nessun interesse occulto. L’unico mio interesse è quello di tutelare e consigliare il cliente, come un avvocato di famiglia farebbe. Ci metto la faccia, il nome e la mia reputazione.
come non si svolge un giusto adeguamento privacy-GDPR
Ho sintetizzato almeno 5 casi in cui vi consiglio caldamente di stare in allerta perchè è l’emblema del come NON si svolge un giusto adeguamento privacy-GDPR (a cui ho scherzosamente collegato dei nomi in codice):
1) Chi ti offre un servizio preconfezionato probabilmente non è un buon conoscitore della norma e delle prassi sulla protezione dei dati personali e pertanto propone il suo pacchetto a tutti indistintamente (che è l’unico che conosce, probabilmente). Come in una catena di montaggio finalizzata solo ed esclusivamente al profitto. Prova a fargli qualche domanda più specifica. Insomma mettilo alla prova! Nome in codice: “la mia è l’unica ricetta miracolosa”;
2) Chi offre pacchetti privacy preconfezionati, in molti casi, ragiona secondo vecchie logiche. E cioè quelle PRE-GDPR (vecchia formulazione del D.Lgs. 196/2003 per intenderci). Non gli è chiaro che la norma vuole un adeguamento personalizzato tarato sulle esigente del Titolare del trattamento e non ammette altre forme. Nome in codice: “è 15 anni che faccio questo mestiere, fidati! Si è sempre fatto così”;
3) Chi vende pacchetti CERTIFICATI spesso abusa del concetto di certificazione. Iniziamo con il dire che al momento non esistono certificazioni riconosciute dall’Autorità Garante (quelle previste ufficialmente dall’art. 42 del GDPR) nè organismi di certificazione accreditati. Esistono sul mercato solo dei meccanismi di certificazione VOLONTARI (= non obbligatori) rilasciati da soggetti privati (come quelle rilasciate dalla Privacy Pincopallo Academy. Si è un nome immaginario. E’ inutile che lo cerchi su Google!). Nome in codice: “il mio pacchetto è differente. Ha questo bollino, vedi?”;
4) Chi vende l’adeguamento a basso costo. L’adeguamento è un processo abbastanza dispendioso, sia dal punto di vista economico che dal punto di vista di mentalità. Se il costo totale è troppo basso diffida ed indaga meglio per capire il perchè. Spesso ci sono spese NECESSARIE nascoste che potrebbero far lievitare il costo dopo aver messo la firma al contratto che vi hanno proposto. O spese necessarie che vengono omesse (e che voi giustamente non provvedete a compiere) ma che al primo problema vi ritrovate a non saper gestire e vi esploderanno in faccia come sanzione o come richiesta risarcitoria. Ricorda: quello che paghi è il prezzo, quello che ottieni è il valore! Nome in codice: “il professionista costa troppo, facciamolo fare a mio cug(g)ino”;
5) Peggio di chi vende pacchetti e/o cose scopiazzate da altri senza capirne il motivo c’è solo (nome in codice) l’hobbista della domenica. Siamo sinceri, già i professionisti spesso fanno fatica e necessitano di studi e approfondimenti molto lunghi e costosi. Immaginate chi si trova da solo di fronte ad un adeguamento da progettare senza alcuna competenza giuridica e tecnica. Non dico che sia impossibile, ma forse le sole domeniche non basteranno. La cosa può andare solo in 2 modi: A) ti accorgerai di quanto sia complicato ed avrai perso tempo e soldi; B) ti accorgerai di quanto sia semplice e allora inizierai ad essere il cug(g)ino di molti. [Si, se te lo stai chiedendo, ero ironico! Se non l’hai capito torna al punto 4) e rileggi da lì].
come si svolge un giusto adeguamento privacy-GDPR
Esclusi dalla nostra lista le categorie di cui sopra, valutiamo come si svolge un giusto adeguamento privacy-GDPR e come dovrebbe essere un buon punto di partenza. Questi sono i passaggi essenziali da fare e vi indicherò cronologicamente i tempi, i modi ed il perchè dovresti ricevere l’offerta. Ricordi? Non esiste il pacchetto, ma esistono tante fasi ed ognuna può essere valutata autonomamente…ed in modo trasparente ti dico che ogni fase può essere realizzata anche da soggetti diversi. Ma la cosa andrebbe valutata caso per caso. Quello che non cambia in nessun caso è la regola dell’affidamento: affidiamo l’incarico NON IN BASE AL PREZZO ma in base al soggetto che abbiamo di fronte. E facciamo attenzione a non confrontare MAI due servizi non omogenei. Ad esempio, e questo mi capita spesso: si confronta il servizio offerto dal professionista con quello del cug(g)ino (si è sempre lui, perchè ce ne sono parecchi in giro). Oppure si confronta il servizio offerto da un legale specializzato e quello offerto da un società che ripara computer o che fa marketing (che per carità, potrebbero essere rispettivamente la n. 1 nel servizio “riparo PC” e n. 1 nel servizio “consulenza marketing), ecc ecc. Credo che ci siamo capiti!
Quindi non possiamo confrontare il servizio, perchè abbiamo capito che sono come dei calciatori che giocano in diverse categorie. C’è chi gioca in serie A, chi in serie B e chi in Lega Pro…e non necessariamente un bravo musicista (che gioca nella serie A della musica) è automaticamente un giocatore di serie A del calcio solo perchè gioca nella serie A nella musica. Facciamo attenzione a questa differenza.
Da queste considerazione discende una grande conseguenza: il prezzo. Se non si possono confrontare i servizi perchè mai dovreste farlo con il prezzo? E’ come voler pagare Cristiano Ronaldo quanto (pensate ad un giocatore qualunque di Lega Pro) solo perchè tirano entrmbi calci ad un pallone. Ok?
Le fasi del lavoro per come si svolge un giusto adeguamento privacy-GDPR sono le seguenti. (il caso qui analizzato è quello relativo ad una piccola organizzazione)
CONCLUSIONI
Eccoci giunti alla fine. Il mercato lì fuori è una giungla [ne ho ampiamente parlato qui “Il mercato post privacy GDPR: cosa sta succedendo?”] e adesso dovresti avere le idee più chiare su come si svolge un giusto adeguamento privacy-GDPR e quello che significa progettare un serio adeguamento. Hai capito che non è un lavoro semplice nè che può essere svolto dal primo che capita [il famoso cug(g)ino, su cui ho ripetutamente scherzato fin dall’inizio]. Ne va della tua reputazione, del tuo patrimonio e della tua serenità. Ho conservato per ultimo la domanda che sicuramente ti sei più volte posto leggendo questo lungo approfondimento: ma quanto mi costa un professionista?
Rispetto alla media che puoi trovare in giro (e mi riferisco solo a quella bassissima percentuale del totale di mercato che veramente lo fa con cognizione di causa) il legale specializzato costa mediamente dal 15% al 25% in più. Costo giustificato da garanzie che non trovi da nessuna altra parte (come l’indipendenza, la riservatezza, la garanzia di adeguate conoscenze e l’assicurazione), ma soprattutto l’approccio legale in ottica di contenzioso (semplicisticamente la mentalità di chi tutti i giorni ha a che fare con processi, richieste più o meno fondate, tribunali e autorità in generale), che farà tutta la differenza qualora ti ritroverai con l’Autorità Garante sul collo o con qualunque altra richiesta (legalmente) vincolante a cui nolente o volente dovrai dare seguito.
E invece rispetto a tuo cug(g)ino?
Con affetto