Segui le novità su Telegram
01.05.2018

GDPR: quanto costa la consulenza per adeguarsi?

Dai 4.000 euro in su ha senso ?

Partecipo ad un interessante gruppo su Facebook che parla di GDPR.

Tra i tanti intervento leggo di un organizzatore di manifestazioni al quale sono stati chiesti dai 4.000 agli 8.000 euro da studi legali che alla parola GDPR non sapevano cosa rispondere.

Non credo sia qualcosa di generalizzato ma mi e' sorto subito l'istinto di scrivere un post in materia.

QUANTO COSTA FORMARSI ?

Il GDPR richiede competenze informatiche, giuridiche e esperienza.

Il motivo e' semplice: i provvedimenti concreti interpretano la normativa in modo piu' restrittivo, e a volte espressioni del codice privacy sembrano piu' neutre che nell'applicazione pratica.

I protocolli seguiti dalla Gdp e dal Garante sono quindi un po' piu' complessi, ma non impossibili.

Quindi, per rispondere: ci vogliono settimane di studio per farsi una idea generale, poi altri mesi per capire volta per volta come funziona.

Il tutto aggiungendo una conoscenza dell'informatica, il piu' delle volte.


COSA DEVE FARE IL CONSULENTE ?

Avvocato, giurista, esperto di sicurezza, società di consulenza, giurista d'impresa: tutti possono occuparsene.

Daranno dei documenti, delle guide, delle spiegazioni.

Se richiesti daranno anche i documenti da utilizzare: o modelli adattati o testi realizzati su misura.

BASTA IL CONSULENTE ?

La comprensione di questi documenti e' fondamentale perche' andranno sempre piu' aggiornati, e bisogna capire a cosa servono e come farli.

Valeva per il consulente ex codice privacy, vale ancora di piu' oggi con il GDPR che richiede (di fatto)un registro aggiornato spesso delle attivita' di trattamento.

Quindi il consulente e' quello che risolve la complessità e coinvolge il titolare dei dati perche' possa adempiere.

COSA DEVE FARE IL TITOLARE ?

Come dicevo sopra, deve continuare ad aggiornare i documenti e verificare che si faccia quello che c'e' scritto.

Prassi diverse dalle procedure prefissate non fanno bene al titolare che oggi, piu' di prima, sara' considerato responsabile.

Per risparmiare il titolare dovrebbe censire le proprie risorse da solo, da subito, indicando:

  • - risorse informatiche
  • - risorse umane
  • - risorse di dati

Completato questo lavoro, il piu' e' fatto.

QUANTO PUO' COSTARE UNA CONSULENZA DI ADEGUAMENTO

Tutti parlano di piccoli adempimenti. In realta' non e' un problema di adempimenti quanto di studio dell'attivita' svolta dal titolare.

Il censimento delle risorse informatiche e' la parte piu' costosa.

L'individuare le soluzioni richiede invece molte conoscenze, sconosciute ai titolari.

L'ideale sarebbe prevedere un servizio di consulenza on demand o a forfait, una prepagata per chiedere ulteriori spiegazioni in ogni momento.

QUALE BUDGET ?

Quelli che i titolari vorrebbero spendere oggi sono (sulla base della mia esperienza):

  • da 100 euro per prendere dei pezzi di carta da mettere in faldoni e dimenticarsi tutto
  • da 250 euro per chi vuole sapere di piu' e adeguarsi facendo tutto il lavoro successivo da solo
  • da 450 euro per chi vuole essere sicuro e coinvolto in una soluzione adeguata per il proprio sito
  • da 1500 euro per una attività di censimento in sede
  • oltre per attività che trattano dati particolari (ex sensibili) e pericolosi.

COSA MANCA 

Non esistono soluzioni informatiche che possano fare tutto il lavoro da sole. 

Anche le autorita' di controllo ne hanno sviluppati, ma si scontrano con la necessità di dover prevedere ipotesi di alta complessita'.

Mancano i codici di condotta che le autorita' non hanno preparato, lasciando sole le pmi.

Non mancano invece coloro che dicono che conformarsi in tutto e' impossibile.

LA SOLUZIONE

La soluzione non e' chiudere gli occhi, aspettare che passi, copiare qualcosa da altri, e stare a vedere.

La soluzione e' iniziare a tenere un registro dei trattamenti, anche un foglio di word, di excel.

Basta iniziare a descrivere ogni strumento e risorsa aziendale usati per trattare dati personali per rendersi conto di quanto si sia sottovalutato l'importanza degli stessi.

L'arrivo di un rasonware e' il punto di inizio: un riscatto per riavere i dati fa capire quanto sia importante la sicurezza.

Aver perso un telefonino senza password e senza un qualche meccanismo di blocco o cancellazione di autenticazioni (in banca, sul sito, all'email, etc etc, mostra come e' utile avere una analisi fatta una volta che aiuti ad affrontare questi casi rapidamente dopo.

Si tratta di risparmiare, in fin dei conti.

I RISCHI DEL NON FARE NIENTE

I rischi sono nella mancata:

  • gestione delle nomine e mansioni dei collaboratori
  • clausole contrattuali con i fornitori sul trattamento dei dati delegato esternamente
  • mancanza di informative
  • mancanza di consensi documentabili
  • mancata previsione del data breach
  • mancata strutturazione della portabilità dei dati e della durata del trattamento

QUINDI ?

E' una consulenza che costa necessariamente, ma non e' detto che si debba prendere tutto subito.

Si puo' anche iniziare ad adempiere e farsi assistere nel tempo.

L'importante e' avere buone basi e quelle, ahime', si costruiscono studiando tanto e a lungo perche' attualmente troppi consulenti esagerano nei pericoli e negli adempimenti, e vanno tutti scremati. 

In piu' i testi sono spesso in inglese (le guidelines del WP29), i consigli anche della ICO in inglese e del CNIL in francese (e dell'autorità spagnola, ottima).

Quindi cercate di capire se vi serve:

  • un aiuto per iniziare
  • un aiuto per fare tutto
  • un aiuto anche nel tempo

Questo vi permettera' di investire il giusto nel giusto tempo.

Una nota: non esiste alcuna certificazione valida ai fini di legge. Solo competenza.

dott. Valentino Spataro

PrivacyKIT.it

Scarica la versione in pdf di questo post

In materia di privacy pensi temi di non aver fatto tutto ?

Il tuo consulente privacy e' stato chiaro?

Hai un elenco dei tuoi fornitori e hai controllato che dati trattatano?

invio risposte anonimo. Guarda i risultati

--


Segui le novità su Telegram oppure segui il Podcast

Approfondimenti:

Condividi su Facebook







Dal 2004 accompagniamo i clienti nelle tecnologie e nel diritto


menu
Memo