Tutti pazzi per il GDPR

Una veloce guida per i nostri clienti, su come affrontare le imminenti scadenze del GDPR e cosa è opportuno fare entro il 25 maggio 2018.

[alert color=yellow align=center]Attenzione, quanto segue è un elenco di informazioni e consigli che scaturiscono dall’esperienza professionale che abbiamo in tema di protezione dati, ma non può essere considerato come una consulenza legale e quanto trattato in questo comunicato non si sostituisce ad una consapevole ed asseverante analisi svolta da un professionista con competenze giuridiche.[/alert]

Quante volte ho letto questa frase nelle diverse comunicazioni che quotidianamente ricevo dai diversi fornitori di servizi informatici e tecnologici di cui ci serviamo per il nostro lavoro. E probabilmente sarà capitato pure a te.

Ogni giorni riceviamo decine di email da parte dei diversi fornitori di servizi digitali che ci chiedono di confermare le nuove informative sulla privacy e di rilasciare il consenso al trattamento dei dati.

Arrivano anche numerose offerte di assistenza legale per la messa a norma della tua azienda: dal commercialista o consulente che ci tiene la contabilità, dalle associazioni di categoria a cui sia affiliati, da sedicenti esperti di Privacy ed aspiranti DPO che evocano apocalittici scenari fatti di multe milionarie ed orde di finanzieri pronti a bussare alle porta della nostra azienda a partire dal 8:30 am di venerdì 25 maggio 2018.

Per questo motivo ho deciso di prendermi un lungo week-end di riposo e venerdì prossimo partirò per un ritiro di Yoga ???? in una splendida tenuta immersa nella natura delle colline umbre. Poi lunedì scoprirò, al mio rientro, se il mondo come lo conosciamo esiste ancora.

In realtà prevedo che presto i filtri antispam incominceranno a trattare la keyword GDPR alla stregua di VIAGRA o CONGRATULATIONS e spediranno tutti questi messaggi in quarantena ????.

Cosa comporta il GDPR per una piccola/media impresa?

A parte gli scherzi, il GDPR è una cosa serie che va affrontata in modo serio e non affrettato, e sicuramente non alla stregua di altri adempimenti burocratici che ogni anno vessano le imprese italiane: non è una dichiarazione o un modulo da compilare, ma bensì un cambio di approccio e consapevolezza nell’utilizzo dei dati personali dei nostri clienti e fornitori.

Perché ci siamo ridotti tutti agli sgoccioli, quando mancano pochi giorni all’entrata in vigore?

In realtà non c’è nulla di fondamentalmente diverso dalla legge 196/2003 che ha regolamentato le imprese italiane in tema di privacy e data security fino ad oggi: come ben definisce questa affermazione che ho sentito qualche giorno fa all’Adobe Summit 2018 – evento europeo sul marketing digitale organizzato ogni anno a Londra –

GDPR is an old wine in a new bottle

Certamente ci sono alcune novità nel modo in cui alcuni aspetti tecnici del problema privacy e sicurezza informatica sono trattati, e sono definiti in modo unico e più preciso alcuni degli aspetti legali che ogni azienda che voglia “fare business” con i cittadini europei deve rispettare.

Purtroppo si è anche creata una grande confusione su alcuni aspetti applicativi della norma ed in molti, come noi, hanno preferito attendere che alcuni dettagli fossero chiariti meglio.

Quali professionisti di ICT e di Digital Marketing (due attività che il team di Farnedi TECH svolge da molti anni per i propri clienti) abbiamo trovato nella grande visibilità fornita dal GDPR un nuovo utilissimo strumento per ribadire quelli che sono i soliti problemi che spesso tu cliente tendi a sottovalutare:

  • la gestione informatica dei dati
  • la sicurezza di pc e server
  • la gestione degli archivi e backup
  • il modo in cui i dati vengono utilizzati sul web

Per questo motivo, in questo periodo di grande attenzione a questi temi, ci troverai pronti in prima linea nell’aiutarti a scegliere fra le numerose offerte di servizi e proposte tecniche che arriveranno nel corso dei prossimi giorni.

Allo stesso modo siamo il partner ideale insieme al quale affrontare le analisi sulla gestione dei dati (Privacy Impact Analysis) che il tuo consulente privacy aziendale (sia esso un avvocato specializzato o un consulente della tua associazione di categoria) ti chiederà di redigere attraverso la compilazione di check list per il privacy audit o la creazione di un registro di trattamento dei dati.

Se sei un’azienda che non si trova fra le categorie che prevedono l’obbligo di nomina di un DPO – riteniamo che ci siano alcune cose da fare subito comunque e poi una serie di attività da predisporre in seguito.

Il nostro approccio al GDPR prevede l’esecuzione dei 7 primissimi passi entro il minor tempo possibile:

  1. la mappatura aziendale delle banche dati contenenti informazioni su persone fisiche
  2. la mappature di tutti i soggetti incaricati nella gestione dei dati per nostro conto (Data Processor)
  3. la revisione della privacy policy presente sul sito internet e degli eventuali form presenti sul sito
  4. l’inserimento del flag di consenso esplicito per l’acquisizione dei dati su form e modulistica
  5. la configurazione corretta della data retention di Google Analytics
  6. l’invio di un’email dove si chieda il consenso esplicito per quei contatti presenti nelle eventuali mailing list ove non sia presente il consenso, e la conseguente cancellazione di coloro che non lo confermano
  7. l’invio di una comunicazioni ai propri contatti presenti in banca dati (con eventuale pubblicazione anche sul sito aziendale) dove si ribadisce “il processo di adeguamento alla nuova norma GDPR” e l’intenzione di praticare tutti gli opportuni passi per la messa in compliant di ogni software ed procedura interna e dei fornitori (data processor) che preveda il trattamento di dati personali.

In un secondo tempo, quando saranno più chiari alcuni aspetti specifici della normativa e delle linee guida pubblicate dal garante italiano della privacy, si potrà procedere con un’analisi più approfondita e dettagliata che porterà ad eseguire con più precisione tutti i passaggi opportuni per sviluppare una corretta cultura aziendale sulla protezione dei dati personali.

Come procediamo ora quindi?

Quando leggerai questo messaggio probabilmente mancheranno pochi giorni al fatidico 25 maggio e probabilmente ti farai prendere dal panico e dalla fretta.

Come detto alcune delle cose che sono presenti nell’elenco possono essere svolte autonomamente (e senza costi) direttamente all’interno dell’azienda con i tuoi collaboratori.

Alcuni dei passaggi che trovi sopra indicati (in particolare quelli relativi al sito web) costituiscono a mio parere la parte più visibile della tua azienda e dello stato o meno di conformità e pertanto vanno eseguiti subito.

I nostri colleghi del reparto WEB potranno eseguire le modifiche da te richieste (se hai ricevuto istruzioni dal tuo consulente legale privacy) o in alternativa operare direttamente in autonomia (sappiamo cosa fare e come impostare al meglio il tuo sito se lo hai realizzato con noi ed abbiamo tutti gli accessi).

Appena ti sarà possibile contatta il nostro servizio helpDesk  e fissa un appuntamento con uno dei nostri esperti di sicurezza e GDPR e ti forniremo il supporto necessario ad eseguire i rimanenti punti dell’elenco.

Ma puoi garantirmi che se faranno una verifica non mi infliggeranno una multa?

Ritorniamo al punto iniziale di questo testo: noi non possiamo garantirti che in caso di verifica sul tema privacy la tua azienda risulterà compliance dopo aver eseguito questi primi passaggi. Inoltre la nostra consulenza non può sostituirsi a quella di un legale specializzato sul tema.

Quello che posso garantirti è che in qualità di nostro cliente in materia di ICT e/o Web, siamo il partner che meglio di chiunque altro può fornirti il supporto migliore e più economico necessario a configurare la tua attività nel modo corretto possibile.

Siamo pronti a collaborare con i tuoi consulenti legali, se ne hai incarico qualcuno, o a segnalarne uno fra quelli con cui collaboriamo noi attivamente, se ritieni di necessitare di un parere legale.

Sicuramente il tema è rilevante e richiede un approccio serio e rigoroso, ma non ritengo che sia opportuno o prudente farsi prendere dal panico.

[su_spacer size=”10″]

Compila il form per avere maggiori informazioni

[contact-form-7 id=”6715″ title=”Interesse GDPR”]

[su_spacer size=”15″]

Una ultima nota

Se hai già risolto il problema GDPR autonomamente e non sei una di quelle aziende che si è mossa all’ultimo minuto, ma pensi che il punto di vista di un operatore competente nel settore dei servizi informatici sul tema della sicurezza dei dati personali possa essere di aiuto a capire come gestire al meglio le problematiche sollevate dal GDPR, scrivimi e ti manderò l’accesso con password alla sezione riservata al tema GDPR che troverai sul nostro sito all’indirizzo https://www.farnedi.it/GDPR

[su_spacer size=”10″]

Richiedi accesso

[contact-form-7 id=”6717″ title=”Richiesta accesso pagina GDPR”]

[su_spacer size=”15″]

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *