Civile.it
/internet
Osservatorio sul diritto e telecomunicazioni informatiche, a cura del dott. V. Spataro dal 1999, 9266 documenti.

Il dizionario e' stato letto volte.



Segui via: Email - Telegram
  Dal 1999   spieghiamo il diritto di internet  Store  Podcast  Dizionario News alert    
             

  


WPkit.it: privacy, formulari, check up per WordPress

Temi attuali:
Algoritmi ChatGPT Intelligenza artificiale Privacy WordPress



Gdpr 01.05.2018    Pdf    Appunta    Letti    Post successivo  

GDPR: quanto costa la consulenza per adeguarsi?

Dai 4.000 euro in su ha senso ?


Spataro

Download or Play, List or RSS:

 

P

Partecipo ad un interessante gruppo su Facebook che parla di GDPR.

Tra i tanti intervento leggo di un organizzatore di manifestazioni al quale sono stati chiesti dai 4.000 agli 8.000 euro da studi legali che alla parola GDPR non sapevano cosa rispondere.

Non credo sia qualcosa di generalizzato ma mi è sorto subito l'istinto di scrivere un post in materia.

QUANTO COSTA FORMARSI ?

Il GDPR richiede competenze informatiche, giuridiche e esperienza.

Il motivo è semplice: i provvedimenti concreti interpretano la normativa in modo più restrittivo, e a volte espressioni del codice privacy sembrano più neutre che nell'applicazione pratica.

I protocolli seguiti dalla Gdp e dal Garante sono quindi un pò più complessi, ma non impossibili.

Quindi, per rispondere: ci vogliono settimane di studio per farsi una idea generale, poi altri mesi per capire volta per volta come funziona.

Il tutto aggiungendo una conoscenza dell'informatica, il più delle volte.


COSA DEVE FARE IL CONSULENTE ?

Avvocato, giurista, esperto di sicurezza, società di consulenza, giurista d'impresa: tutti possono occuparsene.

Daranno dei documenti, delle guide, delle spiegazioni.

Se richiesti daranno anche i documenti da utilizzare: o modelli adattati o testi realizzati su misura.

BASTA IL CONSULENTE ?

La comprensione di questi documenti è fondamentale perchè andranno sempre più aggiornati, e bisogna capire a cosa servono e come farli.

Valeva per il consulente ex codice privacy, vale ancora di più oggi con il GDPR che richiede (di fatto)un registro aggiornato spesso delle attività di trattamento.

Quindi il consulente è quello che risolve la complessità e coinvolge il titolare dei dati perchè possa adempiere.

COSA DEVE FARE IL TITOLARE ?

Come dicevo sopra, deve continuare ad aggiornare i documenti e verificare che si faccia quello che c'è scritto.

Prassi diverse dalle procedure prefissate non fanno bene al titolare che oggi, più di prima, sarà considerato responsabile.

Per risparmiare il titolare dovrebbe censire le proprie risorse da solo, da subito, indicando:

  • - risorse informatiche
  • - risorse umane
  • - risorse di dati

Completato questo lavoro, il più è fatto.

QUANTO PUO' COSTARE UNA CONSULENZA DI ADEGUAMENTO

Tutti parlano di piccoli adempimenti. In realtà non è un problema di adempimenti quanto di studio dell'attività svolta dal titolare.

Il censimento delle risorse informatiche è la parte più costosa.

L'individuare le soluzioni richiede invece molte conoscenze, sconosciute ai titolari.

L'ideale sarebbe prevedere un servizio di consulenza on demand o a forfait, una prepagata per chiedere ulteriori spiegazioni in ogni momento.

QUALE BUDGET ?

Quelli che i titolari vorrebbero spendere oggi sono (sulla base della mia esperienza):

  • da 100 euro per prendere dei pezzi di carta da mettere in faldoni e dimenticarsi tutto
  • da 250 euro per chi vuole sapere di più e adeguarsi facendo tutto il lavoro successivo da solo
  • da 450 euro per chi vuole essere sicuro e coinvolto in una soluzione adeguata per il proprio sito
  • da 1500 euro per una attività di censimento in sede
  • oltre per attività che trattano dati particolari (ex sensibili) e pericolosi.

COSA MANCA 

Non esistono soluzioni informatiche che possano fare tutto il lavoro da sole. 

Anche le autorità di controllo ne hanno sviluppati, ma si scontrano con la necessità di dover prevedere ipotesi di alta complessita'.

Mancano i codici di condotta che le autorità non hanno preparato, lasciando sole le pmi.

Non mancano invece coloro che dicono che conformarsi in tutto è impossibile.

LA SOLUZIONE

La soluzione non è chiudere gli occhi, aspettare che passi, copiare qualcosa da altri, e stare a vedere.

La soluzione è iniziare a tenere un registro dei trattamenti, anche un foglio di word, di excel.

Basta iniziare a descrivere ogni strumento e risorsa aziendale usati per trattare dati personali per rendersi conto di quanto si sia sottovalutato l'importanza degli stessi.

L'arrivo di un rasonware è il punto di inizio: un riscatto per riavere i dati fa capire quanto sia importante la sicurezza.

Aver perso un telefonino senza password e senza un qualche meccanismo di blocco o cancellazione di autenticazioni (in banca, sul sito, all'email, etc etc, mostra come è utile avere una analisi fatta una volta che aiuti ad affrontare questi casi rapidamente dopo.

Si tratta di risparmiare, in fin dei conti.

I RISCHI DEL NON FARE NIENTE

I rischi sono nella mancata:

  • gestione delle nomine e mansioni dei collaboratori
  • clausole contrattuali con i fornitori sul trattamento dei dati delegato esternamente
  • mancanza di informative
  • mancanza di consensi documentabili
  • mancata previsione del data breach
  • mancata strutturazione della portabilità dei dati e della durata del trattamento

QUINDI ?

E' una consulenza che costa necessariamente, ma non è detto che si debba prendere tutto subito.

Si può anche iniziare ad adempiere e farsi assistere nel tempo.

L'importante è avere buone basi e quelle, ahime', si costruiscono studiando tanto e a lungo perchè attualmente troppi consulenti esagerano nei pericoli e negli adempimenti, e vanno tutti scremati. 

In più i testi sono spesso in inglese (le guidelines del WP29), i consigli anche della ICO in inglese e del CNIL in francese (e dell'autorità spagnola, ottima).

Quindi cercate di capire se vi serve:

  • un aiuto per iniziare
  • un aiuto per fare tutto
  • un aiuto anche nel tempo

Questo vi permetterà di investire il giusto nel giusto tempo.

Una nota: non esiste alcuna certificazione valida ai fini di legge. Solo competenza.

dott. Valentino Spataro

PrivacyKIT.it

Scarica la versione in pdf di questo post

Questionario anonimo:

In materia di privacy pensi temi di non aver fatto tutto ?

Il tuo consulente privacy è stato chiaro?

Hai un elenco dei tuoi fornitori e hai controllato che dati trattatano?


invio risposte anonimo. Guarda i risultati.

01.05.2018 Spataro
PrivacyKit.it


Il Garante Europeo richiama la Commissione, e arrivano i nodi al pettine.
Garante: Il contratto sottoscritto da una sola parte non e' scritto ai fini del gdpr; gestione della sd card - 9990659
Antidoping e protezione dei dati: l'avvocato generale considera che un'autorità nazionale antidoping che pubblica su Internet dati personali di un atleta professionista dopato non agisce in violazione del RGPD  cp230142it.pdf
Il Colorado, il GDPR, la Cybersicurezza e il livello accettabile.
Grumpy gdpr podcast on illegitimate interest
005 Come iniziare a rispettare il GDPR: il censimento delle risorse
066 GDPR: Ho sviluppato una app ... quali adempimenti privacy ?
122 Qrcode e privacy - un processo da valutare e verificare
157 Google analytics, GDPR, le alternative e i vantaggi
262 GDPR 5 anni dopo, i pro e i contro



Segui le novità in materia di Gdpr su Civile.it via Telegram
oppure via email: (gratis Info privacy)





dallo store:
visita lo store








Dal 1999 il diritto di internet. I testi sono degli autori e di IusOnDemand srl p.iva 04446030969 - diritti riservati - Privacy - Cookie - Condizioni d'uso - in 0.063