Molti (e molti altri no, a quanto ho visto) sapranno che sta entrando in vigore il nuovo regolamento sulla privacy denominato GPDR ( regolamento generale sulla protezione dei dati).
Per quel che mi riguarda non mi ritengo informato a sufficienza, ma per forza di cose recupererò…
Non entro nei dettagli, ma è evidente che per rispettare queste norme sono necessari investimenti economici che ovviamente peseranno sulle casse delle aziende e va da sè che questi costi dovranno essere recuperati sul prezzo di vendita di beni e servizi.
Una volta di più si sono creati obblighi impegnativi ed onerosi senza tenere conto delle strutture molto diverse di un’azienda con un fatturato (e numero di dipendenti) importante e quelle piccole, se non artigianali, presenti in gran numero in Italia.
Leggevo che:
” il contesto italiano può difficilmente essere paragonato a quello Europeo. Il numero delle PMI ha raggiunto nel 2016 quota 145.000.
Sono numeri assolutamente unici che devono far pensare a modalità alternative di gestione del processo di adeguamento al GDPR.
Non esistono statistiche in merito all’investimento medio delle realtà nazionali in materia di privacy, ma è difficile ipotizzare che una PMI con un fatturato non superiore ai 5 milioni di Euro, possa e voglia investire, nel suo complesso, più di 50.000 euro per l’adeguamento e più di 25.000 euro per la gestione ordinaria degli adempimenti previsti dal GDPR.”
Appunto.
Sebbene ci siano già norme molto più semplici sulla privacy che sono totalmente disattese (vedi call center), ho la quasi certezza che anche in questo caso questo Regolamento servirà solo a complicare la vita a piccole e medie aziende (ed artigiani, liberi professioni), e certe grandi società continueranno a fare quello che fanno, ma non importa.
Qui ragiono sugli effetti pratici.
I dati sensibili sono importanti, tuttavia ci sono delle situazioni assurde.
Ricevo la Pec da un fornitore con la quale mi invita a registrarmi al suo sito per leggere le varie informative e dare i primi consensi, tra i quali c’è quello con cui li autorizzo ad inviarmi le fatture via mail.
Insomma, sono io a comunicargli l’indirizzo mail cui inviare le fatture, è evidente che voglio che mandino le fatture a quell’indirizzo specifico.
Serve uno specifico consenso?
Servirà richiedere un consenso anche per inviare ordini, conferme e richieste d’offerta?
Poi … diciamo che fra clienti e fornitori abbia in archivio 1000 nominativi, anche se credo siano di più.
Per registrarmi al sito, leggere le informative, inviare i consensi per ogni singolo indirizzo mail, e quant’altro ho “perso” circa 20 minuti.
Moltiplichiamo 20 minuti per 1000 nominativi ed abbiamo 333 ore lavorative solo per assolvere un obbligo minimo.
333 ore che non produrranno reddito (lordo) e quindi solo uscite che andranno ad aggiungersi a tutti gli altri costi burocratici.
Immaginiamo una piccola azienda che in ufficio ha una sola persona oltre al titolare (io invece sono da solo, in ufficio) e poi vediamo cosa c’è da fare.
Leggevo su questo sito anche le risposte a questa domanda: Quali sono, nel concreto, gli step (#dilloinitaliano: passi) che le aziende devono affrontare per adeguarsi a tale regolamento?
Per le organizzazioni che trattano dati personali in modo significativo diventa essenziale definire un piano di azione per gestire in modo adeguato le regole che sono introdotte dal Regolamento Europeo: occorre definire un Privacy Program.
Questi sono i passi preliminari da intraprendere:
fare un inventario delle proprie informative e verificare come potrebbero cambiare in funzione delle nuove regole.
valutare cosa significa in concreto dover introdurre l’indicazione della fonte dei dati e il tempo di conservazione dei dati.
sperimentare nuove forme di informative visuali basate su icone.
analizzare quali sono i dati di cui si dispone e fare una mappatura aggiornata dei dati.
dotarsi di “software sentinella” per gestire il nuovo obbligo di notifica delle violazioni nell’uso dei dati personali e verificare l’eventuale flusso extraeuropeo dei dati usando servizi cloud.sperimentare la Privacy by Design e effettuare il Privacy Impact Assessment affidandosi a esperti competenti che aiutino l’azienda a minimizzare gli impatti e a contenere i costi di gestione dei nuovi adempimenti.
pensare a come introdurre un Data Protection Officer in azienda.
analizzare gli effetti del diritto alla portabilità dei dati e adottare cautele organizzative per
evitare impatti gravi sulla stabilità dei data base aziendali.
definire le nuove regole di acquisizione e documentazione del consenso.
verificare con cura i fornitori dei dati. Questo è il tempo in cui fare test, test e ancora test.
verificare se si trattano dati di minori tenendo conto che le nuove regole impongono di gestire anche il consenso degli esercenti la potestà di genitore con il consenso del minore al di sotto dei 16 anni.