Cosa deve fare un’azienda per adeguarsi al GDPR
Quando parliamo di GDPR ci riferiamo al Regolamento Generale sulla Protezione dei Dati – il regolamento (UE) n. 2016/679 -, adottato dalla Commissione Europea per tutelare i dati personali dei cittadini.
Il GDPR, oltre ad avere un impatto diretto sulle persone, coinvolge anche le realtà imprenditoriali: per agire a norma di legge le aziende hanno la necessità di redigere una serie di documenti strategici che permettono di lavorare con serenità e far crescere il business senza pensieri.
Quando parliamo di adeguamento al GDPR per le imprese intendiamo l’organizzazione sistemica e l’adattamento a livello di privacy di qualsiasi trattamento dei dati effettuato da un’azienda.
Con la sigla GDPR, oltre a indicare la tutela dei dati che circolano sul web e transitano dal sito, ci riferiamo anche alla protezione di quelli offline con cui veniamo a contatto nella quotidianità.
L’adeguamento interessa tutte le aziende, nessuna è esclusa dalla normativa, perché ogni realtà gestisce – in modo più o meno profondo –, informazioni su dipendenti, collaboratori, clienti e fornitori.
Tutti i dati personali raccolti con qualsiasi modalità vengono in qualche modo tracciati. Pensa ai CV, agli indirizzi e-mail, ai numeri di telefono, alle abitudini di acquisto, alle informazioni sui fornitori.
Non preoccuparti: siamo qui per affiancarti lungo il percorso di adeguamento al GDPR.
Vediamo insieme perché è importante per un’azienda effettuare l’adeguamento al GDPR e come può farlo in tempi brevi insieme al nostro studio Legal for Digital.
Adempimenti necessari al GDPR: perché sono utili alle aziende?
C’è una frase che ricorre spesso quando ci confrontiamo con le aziende che chiedono come adeguare il GDPR: “Dobbiamo mettere a posto la privacy”.
Ecco, in quel mettere a posto c’è un lavoro complesso di analisi, studio e ricerca che permette a noi legali di adeguare un’azienda a tutti gli adempimenti previsti dalla normativa sul GDPR.
Gli imprenditori hanno contezza dell’argomento ma non sanno con esattezza quali e quanti documenti sono necessari. E lì arriva il nostro studio Legal for Digital.
Le aziende si rivolgono a noi per il GDPR quando:
- Hanno già fatto un adeguamento ma non lavorano più con lo studio che glielo ha redatto
- Hanno fatto un adeguamento con un software online (errore gravissimo!) che se non viene rinnovato ogni anno perde la sua validità
- Si rendono conto di crescere e “non possono più aspettare”: lo sanno da sempre di aver bisogno dell’adeguamento alla privacy ma la consapevolezza aumenta nel tempo al crescere dell’azienda e il rischio percepito di prendere una sanzione diventa troppo alto.
Perché è utile adeguare la propria azienda al GDPR?
Molti imprenditori pensano serva solo per evitare di ricevere multe. Che, in parte, è vero.
L’utilità principale però è un’altra: quando non sei in possesso di un GDPR adeguato i tuoi fornitori o i partner potrebbero interrompere i rapporti e non voler più lavorare con te per non subire a loro volta sanzioni.
In pratica, metti a rischio il tuo business.
Nel momento in cui l’azienda A collabora con l’azienda B e B non ha adeguato il GDPR, B prende una multa ma anche A può essere sanzionato.
Quindi, se non vuoi subire sanzioni salate e se desideri mantenere buoni rapporti con i tuoi partner strategici, adegua il prima possibile il tuo GDPR: per farlo è sufficiente contattarci tramite il form. Rispondiamo entro poche ore.
Quali sono i vantaggi dell’adeguamento al GDPR per un’azienda?
Il GDPR è un investimento a lungo termine: una volta redatto ex novo o adeguato, devi solo mantenerlo e puoi farlo anche in autonomia.
Il GDPR diventa parte dei tuoi asset aziendali strategici: in Legal for Digital ci occupiamo dei passaggi necessari all’adeguamento della normativa, forniamo la documentazione, ti spieghiamo come compilarla e conservi tutto in azienda.
Da quel punto in avanti puoi farti seguire da chi vuoi. Certo, accompagnarti nel tempo con una consulenza strategica dedicata al tuo business per noi è solo un piacere, ma sei libero di scegliere.
Il nostro motto in materia di GDPR è “Un adeguamento, una volta e fatto bene”.
Vediamo insieme quali sono i vantaggi di questo importante adempimento legale e strategico.
- La sicurezza: sei certo di consolidare in azienda flussi di lavoro coerenti e precisi.
- L’eliminazione dei problemi: non solo di carattere sanzionatorio (evitare di prendere multe), ma anche nella gestione delle relazioni con dipendenti, fornitori e clienti.
Un business si costruisce sulla qualità dei legami interpersonali. - La definizione delle procedure interne: quando sei in possesso di un adeguamento privacy corretto, sai quali documenti devono firmare i tuoi dipendenti, i collaboratori e i fornitori. Hai la possibilità di definire un iter da replicare con tutti i soggetti ed evitare inutili perdite di tempo.
Questi vantaggi hanno un impatto diretto sul time management interno e sulla gestione delle risorse aziendali.
“Legal for Digital è senza ombra di dubbio il miglior studio legale per chi lavora nel digital. Non solo sono competenti, disponibili, precisi e puntuali, ma conoscono alla perfezione anche tutti gli aspetti tecnici di un’azienda che lavora nel digital. Consigliatissimi.”
Simone Magazzù
Titolare Loop Agency
Le resistenze di chi si deve adeguare al GDPR
Nonostante i vantaggi dell’adeguamento al GDPR siano palesi, ci sono ancora alcune aziende che oppongono resistenza, soprattutto le piccole e medie imprese.
Sai perché non si adeguano? Pensano che il Garante per la privacy effettui controlli solo alle aziende di grandi dimensioni.
Quando sentiamo questa motivazione, abbiamo la risposta pronta:
“Se il Garante dovesse davvero controllare a tappeto tutte le aziende italiane, dovrebbe assumere un numero troppo elevato di dipendenti, hai ragione. Ma il problema è un altro. Tu non hai un competitor un po’ invidioso, un fornitore con il quale hai concluso male una collaborazione, un cliente insoddisfatto a cui potresti dare fastidio?
Sei sicuro, sicura che ti vogliano tutti bene? Forse è il caso di porci in una posizione che ti consenta di essere tutelato da qualsiasi audit o controllo a sorpresa richiesto da qualcuno che mal sopporta la tua attività”.
Una cosa vorremmo fosse chiara: prima fai l’adeguamento al GDPR, meglio è.
Da quando la normativa è in vigore, ogni anno trascorso senza che tu abbia adempiuto agli obblighi previsti è passibile di sanzione.
In pratica: se nell’anno x+1 non hai organizzato la formazione GDPR ai dipendenti ma la pianifichi dall’anno x+2, puoi essere sanzionato perché la norma è retroattiva.
Vuoi sapere subito qual è lo stato di salute del tuo GDPR? Richiedi il Check-Up Privacy al nostro studio.
Quanto cosata adeguarsi al GDPR per le aziende?
Ti suggeriamo di pianificare il budget per il GDPR e metterlo come voce prioritaria del tuo business plan. Il costo per l’adeguamento al GDPR è molto eterogeneo: non lo trovi esposto in questa pagina perché dipende da molteplici fattori connessi all’azienda.
Potresti già avere in mano una documentazione che ci consente di intervenire solo per adeguare ciò che manca oppure, nel caso tu non abbia nulla, dobbiamo iniziare da zero.
Ovvio: se possiamo salvare qualcosa dalla documentazione in tuo possesso, la teniamo: perché rifare un asset che va già bene?
Per sistemare un adeguamento GDPR offline abbiamo bisogno di programmare quattro o cinque incontri, ognuno con un obiettivo e un argomento specifici.
Per esempio: gli strumenti del GDPR, la tipologia delle informazioni, le modalità di trattamento, i soggetti coinvolti, le procedure interne di trattamento dati.
Seguiamo un processo lavorativo – tutto nostro, firmato Legal for Digital – finalizzato a:
- evitare di protrarre un adeguamento privacy a tre o quattro mesi, come succede spesso con molti studi legali,
- andare in verticale su ciò che serve per l’adeguamento e pianificare l’audit per ogni sezione o argomento da trattare.
In Legal for Digital non perdiamo tempo e non ne facciamo perdere a te: ci concentriamo sulle informazioni rilevanti per evitare che l’adeguamento al GDPR diventi un lavoro infinito.L’investimento per il GDPR è elevato, non lo nascondiamo, ma fondamentale per tutelare la tua azienda e metterla al riparo da qualsiasi problema sulla gestione dei dati.
Legal Tips: i nostri suggerimenti facili
- Quando parli di GDPR non ti riferisci solo a una serie di documenti da trasformare in file da mettere su Drive: il GDPR è vivo e devi gestirlo in modo corretto tutti i giorni.
- Quando parli di GDPR ti rivolgi a tanti soggetti diversi: fornitori esterni, clienti, partner aziendali, agenzie di marketing.
- Il DPO (Data Protection Officer) non è sempre necessario: investi nella figura del DPO solo se ti serve davvero, non è obbligatorio per tutte le aziende.
Case Study
Adeguamento GDPR aziende: migliaia di euro di danni per un’e-mail aziendale
SITUAZIONE
Una nuova risorsa viene inserita in azienda: firma il contratto di lavoro e comincia il suo percorso. Gli viene fornita l’e-mail aziendale nome.cognome@azienda.it
Purtroppo, dopo qualche settimana l’azienda si rende conto di non aver assunto la risorsa giusta e chiede gli accessi all’e-mail del dipendente per chiudere il rapporto. Il collaboratore però fa scrivere una lettera dal suo avvocato nella quale specifica che non da nessuna autorizzazione all’accesso e diffida l’azienda dall’appropriarsi della e-mail perché è di sua proprietà.
L’imprenditore rimane di stucco: pensa che l’e-mail appartenga all’azienda. Tra l’altro l’account contiene informazioni preziose e scambi di comunicazioni con fornitori e clienti!
Ma… il collaboratore ha ragione: può vietare l’accesso e la chiusura dell’account perché quella e-mail aziendale – con il suo nome e cognome –, è diventata personale.
L’azienda non può fare nulla: se agisse compirebbe un illecito accollandosi delle responsabilità penali e il collaboratore avrebbe diritto a un risarcimento.
Questa dinamica non era tutelata perché nella sezione dell’informativa dipendenti relativa all’adeguamento privacy offline non è stata specificata la modalità di gestione delle e-mail aziendali.
Risultato? Migliaia di euro di danni.
Come ottenere l’adeguamento al GDPR per le aziende
Molti imprenditori pensano che le tempistiche e i processi per adeguare il GDPR siano lunghi e complessi.
Niente affatto: ora ti spieghiamo qual è il metodo di lavoro di Legal for Digital e i passaggi che proponiamo per rispondere alle tue domande.
- Hai scelto di contattarci via e-mail o con il form: riceviamo la tua richiesta e, nel giro di poche ore, rispondiamo e fissiamo una prima call.
- Durante il primo incontro ti poniamo diverse domande per capire l’entità del lavoro da svolgere.
- Entro una giornata lavorativa, ricevi il preventivo esploso con tutti i dettagli dei servizi che forniamo e il prezzo in chiaro.
Se la proposta incontra le tue esigenze, sottoscrivi il nostro contratto, procedi al pagamento e pianifichiamo gli incontri necessari all’adeguamento del tuo GDPR.
Adeguamento al GDPR dell’e-commerce: qualche informazione pratica
Il nostro processo di adeguamento al GDPR prevede da quattro ai sei audit di consulenza via Zoom e una ulteriore formazione pratica per poter gestire in autonomia il Gdpr del proprio business dopo il percorso fatto insieme.
Di quali aspetti si prende cura questa figura?
- Analisi dei soggetti coinvolti nel trattamento dati (ruoli, compiti e responsabilità).
- Analisi e valutazione di tutte le finalità e trattamenti dati svolti.
- Valutazione documentale delle misure di sicurezza adottate.
- Valutazione dei locali aziendali.
- Valutazione analitica dei dati trattati per ciascun trattamento dati svolto.
- Definizione dell’organigramma della privacy.
- Redazione di tutti i contratti di nomina a responsabili del trattamento dei dati.
- Redazione delle nomine ad autorizzato e relative istruzioni sul trattamento dei dati.
- Redazione del registro dei trattamenti (è escluso l’adeguamento legale del sito web).
- Redazione del registro del responsabile del trattamento.
- Registro delle richieste di accesso degli interessati.
- Registro di gestione e documentazione dei data breach (violazione dei dati).
- Registro di controllo e revisione.
- Illustrazione della documentazione prodotta.
- Risposta ai quesiti del cliente in tema privacy aziendale.
- Redazione e consegna del MOP (Modello organizzativo Privacy).
- Attività di analisi del rischio per ogni specifica istanza di rischio e come potrebbe influenzare i progetti e gli obiettivi dell’azienda
- Analisi ORIZZONTALE del rischio, con riferimento a ciascuno dei quattro settori in cui il rischio è suscettibile di verificarsi (Comportamento Operatori, Dispositivi Hardware, Dispositivi Software, Contesto)
- Analisi VERTICALE del rischio, ossia per processo, ricorrendo ai criteri dettati dalle linee guida ENISA.
A conclusione dell’attività è prevista un’ulteriore consulenza di presentazione di tutta la documentazione redatta in modo da fornire le informazioni necessarie per il suo utilizzo nel tempo e i relativi aggiornamenti, così che il cliente non sia obbligato a farsi seguire dal nostro studio per le attività privacy quotidiane.
Possiamo anche procedere all’adeguamento privacy del sito web o e-commerce, alla formazione annuale obbligatoria dei dipendenti online, in azienda oppure on demand sulla nostra piattaforma formativa e anche al servizio di DPO che tuttavia consigliamo solo se obbligatorio per legge nel tuo caso, perché l’adeguamento al Gdpr deve essere un mezzo di tutela dell’azienda e non un capitolo di spesa inutile.