GDPR da dove cominciare

GDPR: Da dove cominciare per mettere a norma la mia azienda?

Pensi davvero che la cosa importante sia l’informativa sulla privacy?

Nella media dei casi l’unica cosa a cui veramente viene data un po’ di attenzione sono le famose “informative” sulla privacy.

Questo anche se l’imprenditore o il manager sono armati di buona volontà e decisi a mettere a norma la propria azienda rispetto al GDPR.

Non che questo sia sbagliato, ma è probabilmente un approccio poco lungimirante, tendenzialmente è la classica modalità furba all’italiana che in realtà è più da sciocco che da vero “sgamato”.

Se l’Autorità di controllo dice che controllerà, più o meno, 11 punti per capire se la tua azienda è a norma oppure no e che solo uno di questi punti riguarda l’informativa, capisci che la mia affermazione un po’ forte sulla poco lungimiranza dell’imprenditore è spiegata.

Facciamo però un passo indietro e capiamo come le imprese piccole e medie debbano mettersi a norma senza svenarsi o preoccuparsi inutilmente.

Innanzitutto, farti fare la documentazione da un consulente legale esterno del tipo “pronti-e-via” non è la soluzione, perché gli 11 punti di controllo dell’Autorità non sono quei pezzi di carta, ma altre cose che dimostrano che tu stai effettivamente applicando il GDPR. 

Ecco quindi la domanda più importante: stai effettivamente applicando il GDPR?

Se non sai rispondere con un pieno “SI” a questa domanda allora è meglio leggere quanto segue.

Giusto per fare un paragone, se una pattuglia della Polizia ti ferma per strada perché andavi un po’ troppo veloce, il fatto che tu abbia il “documento” patente mica ti mette al riparo dalla sanzione: è il tuo comportamento che viene punito.

Allo stesso modo farsi fare qualche documento e poi metterli nel cassetto significa, con molta probabilità, buttare soldi.

In realtà è qualcosa di peggio, ma non voglio girare ulteriormente il coltello nella piaga, perché un documento “finto” che per nulla o malamente descrive lo stato effettivo della tua azienda è pure un reato penale.

Da dove cominciare?

C’è un primo passo che devi fare sempre con lo scopo di creare il “Registro dei trattamenti” (che ti spiego altrove) anche se non ne sei obbligato (vedi l’articolo “GDPR – Registro del trattamento dei dati… sì o no?”),

Devi prima di tutto fare un piccolo lavoro oppure grande, dipende dalla tua azienda, come ti descrivo qui di seguito.

Chiediti quali tipi di dati tratti, dividendoli tra: clienti; dipendenti; fornitori. Li metti per iscritto. Più riesci ad essere dettagliato meglio è, ma l’importante è almeno farne delle categorie.

Dall’elenco dei fornitori devi separare fondamentalmente i semplici fornitori di prodotti o servizi da quelli a cui tu passi informazioni come, ad esempio, lo studio di consulenza paghe, o che gestiscono per te delle informazioni come il sito Internet o Facebook.

In generale chiediti questi dati dove stanno, che percorso fanno dentro la tua azienda. Ad esempio i dati di un nuovo cliente dove vanno a finire?

Così crei una mappa che contiene sia quali dati tratti e quali percorsi fanno questi dati all’interno e all’esterno della tua azienda.

A questo punto valuta quanto sono sicuri le apparecchiature o l’ambiente che è intorno a quei dati e chiediti: quali sono i rischi che corrono? Chi può vedere o modificare questi dati? Possono essere “rubati” facilmente o meno?

In base alle rispoete delle domande appena indicate, decidi quali misure sia necessario adottare per limitare i rischi.

Fermandoci qui, seppur non sia il percorso completo, hai già un’idea di quello che si chiama Valutazione di impatto sul trattamenteo dei dati personali.

Ora hai le informazioni fondamenteali per proseguire nella formazione del Registro dei trattamenti.

Capisco che la cosa può sembrare complessa, noiosa e inutile. E’ da questo che il mio Metodo Privacy Passo Dopo Passo prende il via: rendere semplice la vita dell’imprenditore demandando all’esterno gran parte del lavoro.

created 2019-11-19-02-02-27