Dal 2018, le aziende che trattano dati personali si sono trovate davanti alla necessità di adeguarsi al GDPR, il Regolamento per la Protezione dei Dati Personali. Dato che, per quanto riguarda il trattamento degli stessi, non esiste un caso univoco, è necessario, se si ha intenzione di aderire alle linee guida del legislatore europeo ed evitare sanzioni, partire con una valutazione impatto privacy.
Se sei qui, significa che vuoi sapere qualcosa di più in merito e che, nello specifico, ti interessa conoscere sia quanto costa, sia chi la effettua. Non ti resta che seguirci nelle prossime righe di questo articolo!
A chi rivolgersi?
A chi rivolgersi quando si decide di effettuare una valutazione impatto privacy della propria azienda? Non esiste una figura definita a cui fare riferimento. Previa consultazione della pagina dedicata alle competenze del team, si può commissionare questo lavoro a uno studio legale con nello staff professionisti esperti in Data Protection.
Non è scontato che un avvocato abbia competenze in merito. Anche se la materia non è nata nel 2018 con l’applicazione del GDPR, molti legali hanno iniziato ad applicarsi per includerla nei loro servizi in quel periodo, rivoluzionando, in molti casi, il loro lavoro. La Data Protection, quando viene fatta bene, è infatti frutto di un mix tra competenze giuridiche e informatiche, senza dimenticare anche la conoscenza delle basi di azione dei vari business.
Attenzione, però: questo non significa che, nel momento in cui viene effettuato il sopralluogo in azienda il consulente sia lasciato a se stesso. In queste situazioni, infatti, è sempre affiancato da una persona dello staff.
A seguito dello step appena ricordato e della raccolta di informazioni sull’organizzazione aziendale, il professionista ha in mano tutto quello che gli serve per redigere il DPIA (Documento di Valutazione dell’Impatto sulla Protezione dei Dati).
Come abbiamo ricordato nelle righe precedenti, non ne esiste uno uguale all’altro. Si tratta del risultato di un percorso sartoriale tagliato sulle esigenze di una specifica azienda.
Costi
Adesso è arrivato il momento di parlare di costi. La valutazione impatto privacy, che come abbiamo appena visto vede il DPIA come culmine del lavoro del consulente, ha un costo che varia sulla base di un criterio su tutti: il numero di dati sensibili. Al netto di questo aspetto, bisogna poi prendere in considerazione i minimi tabellari degli studi legali. Proseguendo con l’elenco delle voci di spesa che possono essere presenti in un preventivo per la valutazione dell’impatto sulla privacy del trattamento dei dati personali da parte di un’azienda, facciamo presente che non si parla, quasi sempre, solo del DPIA e della sua redazione.
La Data Protection è un processo dinamico che deve considerare anche i seguenti aspetti:
- Formazione del personale interno all’azienda (per rendersi conto dell’importanza di questo punto, basta rammentare che, in alcuni casi, i data breach non sono frutto di attacchi hacker ma il risultato di errori umani, come per esempio il fatto di lasciare incustodito un supporto caratterizzato dalla presenza di dati sensibili).
- Consulenza annuale (non solo la normativa può cambiare, ma anche la tipologia di dati trattata dall’azienda può essere soggetta a mutamenti nel corso del tempo).
Da non dimenticare è il fatto che, nel momento in cui ci si rivolge a uno studio esterno per la consulenza privacy, in alcuni casi i professionisti possono essere presi come riferimento per la nomina del DPO.
Il consiglio da tenere sempre presente è il fatto che, in virtù della complessità e dei continui cambiamenti della materia, è sempre bene rivolgersi a chi ha competenze certificate, che si possono evincere, oltre che dai corsi, anche dalla pubblicazione di articoli su riviste specializzate.
