Come si svolge un giusto adeguamento privacy-GDPR [SPIEGATO BENE]

E’ la domanda in assoluto che mi viene posta più spesso: ma come si svolge un giusto adeguamento privacy-GDPR? O quanto meno, come un professionista si approccia all’adeguamento. La mia risposta è sempre la stessa: ve la riporto di seguito.

Mettetevi comodi ed iniziamo. Non sarà breve!

Non esistono pacchetti, non esistono programmi, non esistono App automatiche che permettano il corretto adeguamento privacy della tua organizzazione. Come non esistono tante altre cose che tentano di venderti!

C’è solo un modo per farlo ed è quello di intervenire in modo mirato e personalizzato. La norma non ammette un adeguamento preconfezionato (quell’abito taglia unica che va bene un po’ per tutti, per intenderci!). Se ti hanno proposto un pacchetto del genere stanne alla larga. Non si tratta di un pacchetto ma quasi certamente di un…pacco!

Non sappiamo più come dirlo. Tutta la comunità scientifica è d’accordo su questa linea.

Perchè vi dico tutto questo? Perchè io ho l’obbligo di dire le cose come stanno, di essere trasparente, seguo un CODICE, il codice deontologico forense. Sono indipendente, non dipendo da nessuno se non dai miei clienti, non prendo percentuali da nessuno per vendere il pacchetto ” GDPR all inclusive 4 stagioni” o “il software gestionale privacy”, non ho nessun interesse occulto. L’unico mio interesse è quello di tutelare e consigliare il cliente, come un avvocato di famiglia farebbe. Ci metto la faccia, il nome e la mia reputazione.

come non si svolge un giusto adeguamento privacy-GDPR

Ho sintetizzato almeno 5 casi in cui vi consiglio caldamente di stare in allerta perchè è l’emblema del come NON si svolge un giusto adeguamento privacy-GDPR (a cui ho scherzosamente collegato dei nomi in codice):

1) Chi ti offre un servizio preconfezionato probabilmente non è un buon conoscitore della norma e delle prassi sulla protezione dei dati personali e pertanto propone il suo pacchetto a tutti indistintamente (che è l’unico che conosce, probabilmente). Come in una catena di montaggio finalizzata solo ed esclusivamente al profitto. Prova a fargli qualche domanda più specifica. Insomma mettilo alla prova! Nome in codice: “la mia è l’unica ricetta miracolosa”;

2) Chi offre pacchetti privacy preconfezionati, in molti casi, ragiona secondo vecchie logiche. E cioè quelle PRE-GDPR (vecchia formulazione del D.Lgs. 196/2003 per intenderci). Non gli è chiaro che la norma vuole un adeguamento personalizzato tarato sulle esigente del Titolare del trattamento e non ammette altre forme. Nome in codice: “è 15 anni che faccio questo mestiere, fidati! Si è sempre fatto così”;

3) Chi vende pacchetti CERTIFICATI spesso abusa del concetto di certificazione. Iniziamo con il dire che al momento non esistono certificazioni riconosciute dall’Autorità Garante (quelle previste ufficialmente dall’art. 42 del GDPR) nè organismi di certificazione accreditati. Esistono sul mercato solo dei meccanismi di certificazione VOLONTARI (= non obbligatori) rilasciati da soggetti privati (come quelle rilasciate dalla Privacy Pincopallo Academy. Si è un nome immaginario. E’ inutile che lo cerchi su Google!). Nome in codice: “il mio pacchetto è differente. Ha questo bollino, vedi?”;

4) Chi vende l’adeguamento a basso costo. L’adeguamento è un processo abbastanza dispendioso, sia dal punto di vista economico che dal punto di vista di mentalità. Se il costo totale è troppo basso diffida ed indaga meglio per capire il perchè. Spesso ci sono spese NECESSARIE nascoste che potrebbero far lievitare il costo dopo aver messo la firma al contratto che vi hanno proposto. O spese necessarie che vengono omesse (e che voi giustamente non provvedete a compiere) ma che al primo problema vi ritrovate a non saper gestire e vi esploderanno in faccia come sanzione o come richiesta risarcitoria. Ricorda: quello che paghi è il prezzo, quello che ottieni è il valore! Nome in codice: “il professionista costa troppo, facciamolo fare a mio cug(g)ino”;

5) Peggio di chi vende pacchetti e/o cose scopiazzate da altri senza capirne il motivo c’è solo (nome in codice) l’hobbista della domenica. Siamo sinceri, già i professionisti spesso fanno fatica e necessitano di studi e approfondimenti molto lunghi e costosi. Immaginate chi si trova da solo di fronte ad un adeguamento da progettare senza alcuna competenza giuridica e tecnica. Non dico che sia impossibile, ma forse le sole domeniche non basteranno. La cosa può andare solo in 2 modi: A) ti accorgerai di quanto sia complicato ed avrai perso tempo e soldi; B) ti accorgerai di quanto sia semplice e allora inizierai ad essere il cug(g)ino di molti. [Si, se te lo stai chiedendo, ero ironico! Se non l’hai capito torna al punto 4) e rileggi da lì].

come si svolge un giusto adeguamento privacy-GDPR

Esclusi dalla nostra lista le categorie di cui sopra, valutiamo come si svolge un giusto adeguamento privacy-GDPR e come dovrebbe essere un buon punto di partenza. Questi sono i passaggi essenziali da fare e vi indicherò cronologicamente i tempi, i modi ed il perchè dovresti ricevere l’offerta. Ricordi? Non esiste il pacchetto, ma esistono tante fasi ed ognuna può essere valutata autonomamente…ed in modo trasparente ti dico che ogni fase può essere realizzata anche da soggetti diversi. Ma la cosa andrebbe valutata caso per caso. Quello che non cambia in nessun caso è la regola dell’affidamento: affidiamo l’incarico NON IN BASE AL PREZZO ma in base al soggetto che abbiamo di fronte. E facciamo attenzione a non confrontare MAI due servizi non omogenei. Ad esempio, e questo mi capita spesso: si confronta il servizio offerto dal professionista con quello del cug(g)ino (si è sempre lui, perchè ce ne sono parecchi in giro). Oppure si confronta il servizio offerto da un legale specializzato e quello offerto da un società che ripara computer o che fa marketing (che per carità, potrebbero essere rispettivamente la n. 1 nel servizio “riparo PC” e n. 1 nel servizio “consulenza marketing), ecc ecc. Credo che ci siamo capiti!

Quindi non possiamo confrontare il servizio, perchè abbiamo capito che sono come dei calciatori che giocano in diverse categorie. C’è chi gioca in serie A, chi in serie B e chi in Lega Pro…e non necessariamente un bravo musicista (che gioca nella serie A della musica) è automaticamente un giocatore di serie A del calcio solo perchè gioca nella serie A nella musica. Facciamo attenzione a questa differenza.

Da queste considerazione discende una grande conseguenza: il prezzo. Se non si possono confrontare i servizi perchè mai dovreste farlo con il prezzo? E’ come voler pagare Cristiano Ronaldo quanto (pensate ad un giocatore qualunque di Lega Pro) solo perchè tirano entrmbi calci ad un pallone. Ok?

Le fasi del lavoro per come si svolge un giusto adeguamento privacy-GDPR sono le seguenti. (il caso qui analizzato è quello relativo ad una piccola organizzazione)

Analisi preliminare GDPR - Armando De Lucia - Legale Informatico

STEP 1

1. Analisi preliminare

Il primo atto dell'adeguamento è capire con cosa e chi abbiamo a che fare. E' la fase più importante dell'intero processo che determinerà tutte le scelte successive.

Dalle risultanze di questa analisi verranno determinate tutte le azioni successive. Volendo fare un esempio, è il progetto di costruzione di un palazzo. Chi propone il pacchetto sta proponendo un immobile pre-costruito senza sapere se c'è spazio sul terreno su cui andrà allocato, se l'immobile che ti serve deve essere così grande o così piccolo, se il piano regolatore prevede che in quella zona si possa costruire, se i locali sono a norma per l'attività che andrai a svolgerci...
Chi non compie questa analisi come può pretendere di andare avanti? Facciamo attenzione!

*** Nota per il budget: l'analisi preliminare ha un costo ed è inutile chiedere quanto costerà tutto il palazzo in questa fase. Se non è chiaro il progetto e il lavoro da fare, come si può stilare un preventivo dei lavori di costruzione e rifinitura?

STEP 1

STEP 2

2. Valutazione e comparazione

Sulla base dell'analisi compiuta si valuta cosa è già conforme alla norma e agli standard (per comparazione). Questo per recuperare del lavoro già fatto e/o dei beni/servizi idonei già disponibili e in uso all'organizzazione, in un ottica di ottimizzazione del budget.

E' inutile radere al suolo un intero palazzo per poi ricostruirne sopra uno nuovo. Se il vecchio è in buone condizioni si può adattare quello! Così non solo si valorizza quanto dall'organizzazione è già stato fatto (quindi tempo e soldi già spesi) ma si abbassano anche i costi successivi. Il pacchetto avrebbe raso al suolo tutto... anche quando magari non era necessario e... sostituito il vostro bel palazzo su misura in stile liberty con una struttura prefabbricata spesso scadente e non funzionale al vostro scopo.

STEP 2

Proposta di adeguamento GDPR - Armando De Lucia - Legale Informaticoegale Informatico

STEP 3

3. Proposta di adeguamento e Valutazione della sostenibilità

Finalmente siamo giunti alla fase che tutti conoscete: adesso si può preventivare il lavoro da fare per raggiungere la conformità. E' questa la fase in cui è possibile stilare il preventivo e rispondere alla domanda "quanto mi costa?".

Quindi è facile comprendere che il costo sarà più alto quanto meno saranno stati gli investimenti sulla protezione dei dati effettuati dalla tua organizzazione nel corso degli anni. Se i tuoi investimenti (negli ultimi 10 anni) sono stati pari a zero hai un alta probabilità che il preventivo sia più alto rispetto a chi, nel corso degli anni, abbia regolarmente investito. E' logica!

Questo perchè si tiene conto degli investimenti passati (anche piccoli) e li si valorizzano in modo da ri-investire quanto meno tempo e soldi possibile con nuove attività. La proposta pertanto non può che essere personalizzata e tarata secondo le esigenze del cliente . In caso contrario stiamo perdendo quasi certamente tempo e denaro!

STEP 3

STEP 4

4. Inizia il lavoro di adeguamento

Bene, abbiamo accettato il preventivo e si comincia con il sanare i problemi più critici. Man mano ci si sposta verso quelli meno critici, secondo una scala di priorità fornita dal consulente. Sanato tutto il necessario si passa alla redazione documentale (agli atti, quelli che credevate essere i soli a dover curare). Ebbene no: solo gli atti non servono a niente. Gli atti sono la forma che rappresentano la sostanza . La sola forma senza sostanza è finzione, peraltro facilmente accertabile in sede di controllo del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche istituito presso Guardia di Finanza e/o in sede di ispezione disposta a vario titolo dalla Magistratura.

Quanto dura questa fase? Dipende. Dipende da dove si partiva (Step 1 e 2). Quanto più si era indietro, più tempo ci vorrà per arrivare al traguardo. E' logico! Non ponete domande inutili!

STEP 4

STEP 5

5. Controlli periodici e aggiornamenti

Il lavoro è finito secondo te? Hai acquistato il pacchetto e via. La tua coscienza è apparentemente serena. "Abbiamo finalmente terminato", vittoriosio esclamerai. Ed in parte hai ragione. Quello che non ti è stato detto è che tutto il duro lavoro fatto potrebbe essere vanificato da vari eventi successivi.

Ad esempio: iniziate un nuovo progetto, una nuova iniziativa o modificate sensibilmente quelle in corso.
Pensaci bene, cosa è successo? E' semplice, hai cambiato le carte in tavola sulle quali il consulente aveva deciso una strategia e su questa poi aveva costruito la vostra conformità. Se cambi le carte in tavola, dovrai controllare che quanto già fatto resti in piedi e ti tuteli. Quindi fai attenzione!
E' buona norma, ove possibile, coinvolgere il tuo consulente già durante la stesura del progetto. E non lo dico io, ma 2 principi cardine della nuova normativa sulla protezione dei dati: privacy by design e privacy by default. Se proprio non riesci a coinvolgerlo in sede di discussione creativa del progetto (perchè magari è ancora tutto segreto), dovrai comunque coinvolgerlo nella fase della PRE-APPROVAZIONE, per farvi dare un parere (che di fatto è obbligatorio state i suddetti principi). E sulla base di tale parere, portare il progetto in approvazione. Si, l'hai capito. Scegliere un consulente che ti garantisce il segreto professionale (come un avvocato) può essere un bel vantaggio!

Dall'esempio vi dovrebbe essere chiaro quindi tutto il percorso logico POST-ADEGUAMENTO. La verità è che l'adeguamento non si esaurisce nella fase indicata, ma continua tutti i giorni con il mutare delle condizioni. Proprio come un auto che necessita di manutenzione ordinaria...e periodicamente anche di quella straordinaria. Ed anche la privacy andrà revisionata, indipendentemente dal kilometraggio, su base periodica (semestrale, annuale...)

STEP 5

CONCLUSIONI

Eccoci giunti alla fine. Il mercato lì fuori è una giungla [ne ho ampiamente parlato qui “Il mercato post privacy GDPR: cosa sta succedendo?”] e adesso dovresti avere le idee più chiare su come si svolge un giusto adeguamento privacy-GDPR e quello che significa progettare un serio adeguamento. Hai capito che non è un lavoro semplice nè che può essere svolto dal primo che capita [il famoso cug(g)ino, su cui ho ripetutamente scherzato fin dall’inizio]. Ne va della tua reputazione, del tuo patrimonio e della tua serenità. Ho conservato per ultimo la domanda che sicuramente ti sei più volte posto leggendo questo lungo approfondimento: ma quanto mi costa un professionista?

Rispetto alla media che puoi trovare in giro (e mi riferisco solo a quella bassissima percentuale del totale di mercato che veramente lo fa con cognizione di causa) il legale specializzato costa mediamente dal 15% al 25% in più. Costo giustificato da garanzie che non trovi da nessuna altra parte (come l’indipendenza, la riservatezza, la garanzia di adeguate conoscenze e l’assicurazione), ma soprattutto l’approccio legale in ottica di contenzioso (semplicisticamente la mentalità di chi tutti i giorni ha a che fare con processi, richieste più o meno fondate, tribunali e autorità in generale), che farà tutta la differenza qualora ti ritroverai con l’Autorità Garante sul collo o con qualunque altra richiesta (legalmente) vincolante a cui nolente o volente dovrai dare seguito.

E invece rispetto a tuo cug(g)ino?

Con affetto