Favorire la circolazione dei dati in sicurezza
tutelando i diritti e le libertà degli interessati

Consulenza privacy per Piccole e Medie Imprese, professionisti e associazioni

Sono consulente privacy aderente a Federprivacy dal 2013, anno in cui ho conseguito il master di Privacy Officer partecipando alla nona edizione del corso.
L’attività che svolgo si integra con quella di consulente in comunicazione informatica specializzato in siti internet e web marketing. Sempre di più infatti Internet e privacy si intrecciano e a volte confliggono su determinati aspetti legati al marketing via web, creando situazioni di rischio per la tutela dei dati personali con conseguenti sanzioni da parte delle Autorità preposte.
La conoscenza e l’adeguamento normativo sono soluzioni che consentono di evitare sanzioni anche pesanti dovute a sottovalutazione di taluni aspetti che nascondono insidie anche notevoli.

Processo di adeguamento alla normativa privacy

Quando il cliente decide di procedere all’adeguamento normativo al GDPR 2016/679, si procede ad un contatto telefonico, in call o in presenza, per comprendere le caratteristiche dell’organizzazione formandomi un’idea sufficientemente chiara del settore di appartenenza, dell’ambito operativo, delle tipologie di dati trattati, della struttura, dei fornitori, degli interessati, degli strumenti adottati ed altro ancora.

Successivamente, sulla base di questi elementi viene formulata una proposta economica che comprende tanto la parte di adeguamento iniziale che di consulenza per il primo anno e l’eventuale piano relativo alla formazione.

Dal secondo anno il cliente può scegliere di rinnovare la parte di consulenza che prevede servizi come l’aggiornamento normativo, l’analisi di documenti ricevuti dal cliente, la modifica della documentazione in funzione dei cambiamenti dell’organico e dell’evoluzione aziendale (ad es. introduzione dell’e-commerce o di nuove app, CRM ecc.)

All’accettazione della proposta economica, il cliente riceve della modulistica da compilare con dati relativi ai fornitori, l’organigramma aziendale, la struttura informatica e altri documenti necessari per il successivo incontro in cui si approfondiscono i singoli trattamenti e si reperiscono informazioni necessarie a definire la documentazione e le procedure da adottare.

L’assessment può avvenire in presenza o in remoto, si programma da circa dieci a quindici giorni dalla consegna della modulistica e dura mediamente un paio d’ore. A seconda della complessità dell’organizzazione cliente e dei trattamenti eseguiti ci possono essere più assessment
(di solito mai più di tre).

L’impianto rappresenta la fase istruttoria, quella in cui cioè vengono prodotti i documenti necessari: il Registro dei Trattamenti ove previsto, le informative, le autorizzazioni, le nomine dei responsabili, la documentazione integrativa, si esegue la prima analisi dei rischi, si individuano le criticità, si stabiliscono le procedure necessarie e si pianifica la formazione del personale addetto al trattamento.

L’ultima fase, che rappresenta la chiusura dell’impianto di adeguamento al GDPR, si manifesta con la consegna della documentazione via email e la successiva illustrazione (in remoto o in presenza) delle varie funzioni dei documenti con relativo utilizzo e adozione all’interno del sistema amministrativo e produttivo dell’organizzazione.

A seconda degli accordi, il cliente usufruisce della consulenza secondo i tempi concordati nell’offerta.

Di norma la consulenza ha carattere annuale a fronte di una tariffa forfettaria oppure ad intervento.

Il contenuto della consulenza non varia di molto, in entrambi i casi contempla l’aggiornamento della documentazione in base alle novità legislative.

La consulenza riguarda anche le novità dettate dall’evoluzione dell’organizzazione (ad esempio l’adozione di sistemi di e-commerce, nuove modalità di archiviazione per associati, nuove linee di servizi, nuovi strumenti di marketing e così via), analisi di documenti ricevuti che trattano la privacy, pareri, interventi in caso di richieste da parte degli interessati ecc.

La fase di controllo è necessaria sia per verificare lo stato dell’arte in merito all’applicazione della privacy nell’organizzazione, sia per aggiornare l’analisi dei rischi (le due operazioni vengono condotte di norma nella stessa seduta). Si tratta di una fase che rientra nelle operazioni previste dalla consulenza successiva alla consegna della documentazione.

L’importanza del controllo e dell’analisi dei rischi periodica è fondamentale per l’applicazione del principio di accountability sancito dall’art. 32 del GDPR che delega al Titolare del trattamento l’adozione delle misure tecniche e organizzative opportune per garantire un livello di sicurezza adeguato al rischio per i dati personali.

Avvia ora la verifica gratuita della tua conformità al GDPR! >>