Privacy GDPR, che P…
Perché questa privacy sta così antipatica a tutti gli imprenditori? Ma è davvero un ulteriore appesantimento burocratico e normativo?
NO!
e ti spiego perché.
Il vecchio Decreto 196/2003 contro il nuovo Regolamento Europeo 679/2016
Prima di tutto perché esisteva già una legge, la 196 del 2003 che sostanzialmente chiedeva le stesse cose del Regolamento Europeo 679/2016 entrata in vigore l’anno scorso con il decreto attuativo 101/2018.
Quindi per prima cosa c’è questo aspetto: la legge che chiedeva di rispettare la privacy, di incaricare formalmente alcune figure, di adottare delle misure di protezione, ecc ecc ecc, c’era già. Anzi forse era più severa per certi versi del regolamento attuale. Il GDPR presenta meno adempimenti burocratici.
Il secondo aspetto invece è squisitamente psicologico. La cosa che ha reso veramente antipatico questo adeguamento normativo è la pressione psicologica. Quasi un ricatto esercitato da tanti consulenti e software house che hanno fatto terrorismo psicologico sbandierando imminenti multe milionarie.
Eh sì, hanno sfruttato l’imprepazione iniziale dei manager e degli imprenditori, il clima di terrore e l’effettiva urgenza dell’adeguamento per vendere le loro soluzioni magiche. Vi ricordate le centinaia di email che vi sono arrivate a ridosso del 25 maggio? Neanche una dalle aziende che seguiamo noi, sia chiaro!
Per non parlare di quelle che hanno DECIMATO la loro base dati di contatti per il semplice fatto che qualche consulente dell’ultim’ora (magari un legale che, vivendo nel suo studio non sa niente di marketing) ha richiesto tassativamente di “avere il consenso dall’interessato“. Che ovviamente è arrivato in un caso su 10 o su 20. Mi dispiace davvero, peccato!
Solo in pochi hanno usato la testa, molti sono stati guidati dalla paura
Ovviamente il 90% di quella urgenza era una bufala. A parte per determinate organizzazioni in determinate condizioni (quelle che DAVVERO trattano i dati delle persone in maniera massiccia) la stragrande maggioranza degli interventi nelle piccole imprese erano esagerati, incompleti, parziali, inutili o superficiali.
Cerchiamo invece di capire dove sta la realtà. Dov’è la VERITÀ? Questo regolamento alleggerisce determinati adempimenti; mentre ne appesantisce altri per particolari categorie di organizzazioni che trattano i dati personali in modo massiccio o che trattano dati personali veramente delicati (es: dati personali sensibili oppure in marketing profilato e automatizzato).
Quindi cerchiamo di capire come funziona in due parole questo regolamento europeo. Prima di tutto è un’innovazione per l’aspetto giuridico italiano tipico. Perché sposta l’attenzione da un atteggiamento di conformità, ad un atteggiamento di responsabilità: prima esistevano una serie di misure minime (che magicamente poi diventavano anche le misure massime!!!), mentre adesso bisogno dimostrare di averci messo un po’ la testa.
Sì, ammetto, era più comodo adottare una checklist, ma cadere in errore era più facile!
Quindi dobbiamo dimostrare che abbiamo preso in seria considerazione la privacy e la gestione dei dati personali. questo presuppone di fare un’analisi piena, e non basta adottare una semplice check list con qualche modulino. Ed ecco dove sbagliano tantissimi consulenti e tanti imprenditori guidati male: bisogna capire dove stanno le criticità rispetto alla gestione dei dati personali.
Se eri già in regola con la vecchia Privacy, ti manca poco
Intendiamoci: la stragrande maggioranza delle imprese non tratta dati sensibili, non tratta dati personali in maniera critica, non tratta dati a livello marketing con profilazione e trattamenti automatici. Quindi, se hai un’azienda di carpenteria o uno studio di servizi industriali, probabilmente non hai bisogno di fare niente di più di quello che già facevi con Il vecchio decreto 196/2003
Ovviamente se non eri in regola prima, sta a te decidere se continuare a lavorare senza rispettare le regole con i relativi rischi, oppure se cominciare ad adeguarti adesso.
La stragrande maggioranza degli imprenditori non avrà un grande impatto burocratico. Tuttavia io consiglio sempre ai miei amici e ai miei clienti di avere un atteggiamento di analisi verso i dati personali, piuttosto che di “risposta”.
Il metodo S.I.C.U.R.
Ho messo a punto un metodo. Il metodo si chiama S.I.C.U.R. (vedi il metodo su gdprfacile.com) ed è un metodo in cinque fasi. Come nostro stile, per ciascuna di queste 5 fasi, sono stati creati altrettanti video tutorial e documenti personalizzabili sulla nostra piattaforma, per rendere facile la vita a manager, imprenditori e responsabili che si vogliono cimentare autonomamente nell’impresa.
S = SCOPRI
I = INDIVIDUA
C = CUSTODISCI
U = UNIFORMA
Che tu abbia un sito vetrina o che tu abbia un commercio elettronico, devi mettere in ordine le tue policy per fornire le corrette informazione ai tuoi clienti e interessati e per ottenere la conformità al regolamento. E mi raccomando, quando parlo di presenza sul web non intendo necessariamente avere un commercio elettronico, anche il singolo sito vetrina installa cookies sui computer dei visitatori. Al termine dell’articolo ti racconto un triste episodio accaduto a Prato.
Quindi, a seconda che tu abbia una presenza statica o dinamica sul web, se hai un classico sito vetrina, o un sistema che cattura i dati dei clienti con dei moduli on-line, oppure se fai veramente commercio elettronico, avrai diversi livelli di adeguamento con complessità a diverse.
R = RIPARATI
L’ultimo punto, la R, sta per ripararsi. Sì esatto, ripararsi dalle sanzioni, conoscendo quali sono sanzioni possibili per il tuo business. Evitarle semplicemente eliminando le cause dei possibili reati, per il fatto stesso che sei conforme.
Il triste episodio del commercialista di Prato
Nel 2015, quindi prima dell’entrata in vigore del Regolamento Europeo per la privacy, mi chiama un amico perché un suo cliente aveva bisogno di aiuto. Stava sostenendo il controllo della Guardia di Finanza per quello che riguarda la gestione dei dati sulla privacy. A parte due o tre irregolarità sulla designazione degli addetti al trattamento dei dati, che abbiamo rimesso un po’ al volo, il problema è sorto quando I finanzieri hanno guardato il sito dell’azienda. Vi assicuro, il sito di uno studio di commercialisti che non aveva nemmeno il modulino per la raccolta dei dati, un puro sito vetrina.
Ebbene, per via della mancanza del banner di protezione dai cookies, (per la cosiddetta direttiva e-Privacy) questo commercialista si è visto comminare una multa di 12.000 €. È evidente che questa è una multa assolutamente spropositata per una trasgressione che non reca danno a nessuno. Si tratta solo di una informazione mancata al visitatore e l’installazione di cookies non desiderati. Per farti comprendere a che livelli si può spingere il controllo, in totale de-correlazione fra danno effettivo all’interessato e sanzione di misure spropositate.
Il metodo S.I.C.U.R. di GDPRfacile
Ho messo apunto il metodo che ti ho descritto prima, GDPR facile, nell’arco degli ultimi 2 anni dopo 15 di esperienza nel settore. Se mi segui da tempo, probabilmente sai già che ISO 9001 facile è il nostro cavallo di battaglia da tempo, ma GDPR facile è nato più di recente per mettere in grado mangaer e imprenditori di conformarsi al regolamento della privacy anche in autonomia senza ricorrere a consulenti.
In puro stile ISO 9001 facile, anche questo percorso è assolutamente guidato, passo per passo, tramite una piattaforma web che ti guida; in ogni fase, trovi la documentazione da scaricare, personalizzabile, con i video tutorial che ti guidano e ti evitano di commettere errori. Inoltre sulla piattaforma trovi le registrazioni dei webinar e dei video formativi che rimane per sempre a tua disposizione per usarla come formazione obbligatoria per dipendenti attuali e futuri.
Quindi vai a guardarlo: www.gdprfacile.com , perché è possibile che nei prossimi tempi vengano aperte le iscrizioni.
A meno che ovviamente tu non sia già in regola; in tal caso ti faccio i miei complimenti: siete molto bravi! 👏👏👏
Un caro saluto, alla prossima.
Andrea Aulisi