Cosa significa per le Pmi applicare il Gdpr (General Data Protection Regulation, Reg. UE 2016/679)? Il Regolamento comunitario che disciplina il trattamento e la tutela dei dati dei cittadini europei si applicherà a partire dal 25 maggio 2018 – tra una manciata di mesi – eppure ci sono ancora molte questioni poco chiare per le organizzazioni che rappresentano la spina dorsale dell’economia italiana. Aziende per lo più a conduzione familiare, terzisti, che trattano con i clienti persone giuridiche e con i collaboratori attraverso strumenti informatici spesso gratuiti, affidandosi a fornitori di servizi Cloud non specificamente dedicati al business (basti pensare alle e-mail, ai sistemi di trasferimento e condivisione dei file, allo storage).
La buona notizia è che molti di questi operatori hanno già ottemperato agli obblighi imposti dalla nuova legge. Quella cattiva è che bisogna innanzitutto verificare che i servizi a cui si accede facciano effettivamente parte del novero di quelli allineati al Gdpr, che aderiscono a codici di condotta di settore o certificati, e aggiornare di conseguenza informativa ed eventuali moduli di consenso al trattamento dei dati. Bisogna poi dotarsi del registro dei trattamenti – già obbligatorio per alcuni soggetti – qualora non fosse già presente in azienda. Quest’ultima raccomandazione, in particolare, arriva a titolo di buona prassi consigliata direttamente dall’Autorità Garante della Privacy nelle linee guida: come anticipato, infatti, rispetto al Gdpr non sono ancora state delineate le semplificazioni per le Pmi, la cui proposta e stesura spetta alla Commissione Europea. “Un problema non di poco conto, se consideriamo che la definizione di Pmi utilizzata in seno alle istituzioni comunitarie è quella che troviamo nei regolamenti in materia di finanziamenti alle imprese”, spiega Matteo Colombo, Amministratore Delegato di Labor Project, realtà specializzata nell’assistenza e nella formazione sui temi della privacy e della compliance normativa, e Presidente di AssoDPO, l’associazione nazionale che tutela e promuove la professione del Data Protection Officer. “In pratica, secondo la definizione comunitaria, la Pmi è un’azienda che non ha più di 250 dipendenti e che genera un fatturato non superiore ai 50 milioni di euro. Parliamo quindi del 90% del tessuto imprenditoriale italiano”.
In attesa di ulteriori specificazioni – e in linea generale – l’attenzione del consulente (o di chi all’interno dell’organizzazione riceve, in base alle indicazioni del Gdpr, la responsabilità sul corretto trattamento delle informazioni) va soprattutto rivolta ai tipi di dati trattati e all’impatto che il regolamento avrà sulla trasparenza e sulla privacy dei dati relativi ai collaboratori: tra accessi ai sistemi informatici, registrazioni degli impianti di videosorveglianza, sito Web e interazioni sulle piattaforme di comunicazione, anche le imprese terziste e che non hanno a che fare con consumatori finali non possono esimersi dalla compliance. “Rispetto al controllo sulle dotazioni tecnologiche, dobbiamo aspettare le indicazioni fornite dalla legge nazionale che recepirà l’impianto generale e per quanto riguarda i dati trattati relativi ai dipendenti, varranno ancora le legislazioni nazionali come previsto nell’Articolo 88 del regolamento”, continua l’A.D. di Labor Project
C’è poi il tema, indissolubilmente correlato, della cyber security: tutelare i dati significa prima di ogni altra cosa preservarli da attacchi esterni. Ormai non si parla più di rischi generici, ma di probabilità. E piuttosto alte. “Occorrono penetration test e vulnerability assessment del network. Firewall e antivirus fanno sì che la rete sia difficilmente attaccabile da cryptolocker, ma poi è necessario che cambi la mentalità dell’organizzazione, puntando a una cultura della sicurezza diffusa e alle buone pratiche”, dice Colombo, che aggiunge che non per forza bisogna dotarsi di complesse infrastrutture di business continuity o sistemi di crittografia: “Dopo aver fatto il punto con gli esperti di data protection e con i fornitori tecnologici, si individueranno le misure più adeguate in funzione del tipo di trattamento e dell’importanza dei diversi database presenti in azienda. Labor Project, per esempio, offre consulenze ritagliate su misura, sia rispetto alla gestione della parte documentale, sia per quanto riguarda la formazione, sia per la fornitura di pacchetti di soluzioni che permettono agli imprenditori di non dover pensare ad altro che al proprio lavoro. Eroghiamo corsi attraverso i quali i partecipanti conseguono attestati di apprendimento validi anche in altre realtà aziendali”.
L’occasione è buona anche per chiedere a Colombo come giudica la preparazione delle Pmi rispetto al Gdpr e come recepiscono l’offerta di consulenza. “La richiesta è alta, c’è moltissimo lavoro e infatti abbiamo bisogno di assumere. Il problema è che mancano le risorse umane con le giuste competenze per svolgere queste attività sul fronte delle piccole e medie imprese. Cerchiamo persone curiose, con capacità di analisi dei processi aziendali, disposte a parlare e a confrontarsi con ciascun interlocutore. Tra i requisiti ideali ci sono anche una laurea, preferibilmente ma non necessariamente in Legge o in Scienze politiche, e la conoscenza dell’inglese. È indispensabile la disponibilità a muoversi, ad andare in giro. Ciò che fa la differenza nel nostro lavoro, soprattutto con le Pmi, è la relazione, la conoscenza, da cui poi discende la possibilità di esprimersi con cognizione di causa all’interno delle singole realtà. Ma il rapporto personale”, conclude Colombo, “è indispensabile anche per un’altra questione: spesso i titolari delle Pmi sono diffidenti quando si tratta di esternalizzare funzioni e servizi. Se invece si riesce a trasmettere e condividere la passione per un lavoro che va fatto a quattro mani, si riceve – parlo per esperienza – la massima disponibilità”.
