Procedure per la gestione degli eventi in regola col GDPR

06 ottobre 2021Ultimo aggiornamento 15 ottobre 2021
Tempo di lettura stimato: 6'
In questo articolo parleremo fondamentalmente di due cose – la gestione online e la gestione offline di un evento - che in realtà sono solo una: la gestione a norma GDPR di un evento. Perché per “evento” intendo tutte quelle situazioni organiche, digitali, non digitali dove noi ci esponiamo verso l'esterno ed esponendoci recuperiamo informazioni

Quindi intendo i social network, ma anche gli eventi fisici, come le fiere e le altre attività dove fondamentalmente noi utilizziamo strumenti digitali, ma anche non digitali, perché ricordiamoci che ci sono anche tutta una serie di strumenti che non sono solo digitali e dove si va a recuperare, gestire e trattare dati personali.

Questo è l’argomento, oggetto di un LIVE di Raise Academy, l’Accademia formazione efficace di PrivacyLab, in cui ho intervistato l’Avvocato Francesca Bassa e Monica Perego, che si occupa, da più di 30 anni, di consulenza aziendale in ambito compliance, con particolare attenzione all’integrazione tra i sistemi. 


Qui trovi solo un estratto, il resto è sulla Raise!


Per gestire un evento a norma servono delle procedure

Andrea Chiozzi: Vediamo di costruire un filo rosso. Costruiamo un percorso fatto di bandierine in un campo minato e capiamo come si mettono giù le bandierine, quanto sono importanti, per non finire col pestare una mina. Qual è il valore delle procedure, della procedurizzazione, del capire dove andare, come andare e perché fare quel percorso e non un altro e di renderlo sempre uguale in modo tale da migliorare? Questo è un po’ il tema. 

Monica e Francesca, per voi quanto è importante riuscire a definire delle procedure? 
Le chiamiamo così anche se siamo noi italiani che abbiamo l'isteria verso la procedura. Perché gli inglesi la chiamano policy in generale, in modo molto più figo, più elegante. Noi invece quando parliamo di procedure già pensiamo “Oddio, la burocrazia, oddio cosa devo fare…” 

Nell’evento digitale e nell’evento fisico – li accomuniamo perché, saranno diversi finché vuoi, ma poi spesso il risultato atteso è lo stesso – quanto è importante riuscire a schematizzare o quanto meno a definire i percorsi? 

Monica Perego: La procedura è una grandissima misura di accountability. Prima di tutto perché dà delle regole e quindi vuol dire che qualcuno a quel processo ci ha pensato e che ha visto che quel processo ha anche un impatto privacy. Ricordiamoci che una procedura di gestione eventi non ha solo un impatto privacy, ha anche altri impatti. Per esempio, prendiamo un evento fisico: dobbiamo chiamare l'ambulanza. Questo non ha nessun impatto privacy, ma se fai eventi di un certo tipo devi avere anche la disponibilità dell'ambulanza. Quindi se hai una procedura, vuol dire che a quel processo ci hai pensato, hai visto che ha delle problematiche anche privacy e hai anticipato possibili problematiche.

Questa è la prima evidenza di accountability. La seconda evidenza di accountability è che tu puoi farci gli audit: puoi fare i controlli, che vengono richiamati in tanti punti del GDPR. La procedura è un elemento importante perché, altrimenti, i controlli a fronte di cosa li fai? 

La procedura però genera sempre la pelle d'oca. Perché noi la vediamo come qualcosa di monolitico: c'è questa regola e questa regola non si può modificare. Non è così. Le procedure ben fatte si possono modificare, ma c'è un altro aspetto ancora da considerare: quando c'è moltissima variabilità, come nel caso degli eventi, lo strumento più corretto non è la procedura, ma uno ancora più sofisticato, la linea guida.


Qual è la differenza fra procedura e linea guida?

Monica Perego: Mentre la procedura dice "devi, devi, devi..." - quindi lo spazio di negoziazione è zero – la linea guida dice "dovresti, dovresti, dovresti..."

Quindi, io titolare sono così consapevole che questo processo - per esempio il processo di gestione eventi - ha moltissima variabilità, che non posso fare un percorso pensando che chi lo gestisce opererà sempre in un certo modo. In un evento ci sono così tante variabili che entrano in gioco che, consapevole di questo, dico: "Traccio una linea. Tu che gestisci questo processo dovresti fare questo e questo. Alcuni passaggi non li fai o li fai diversamente da come li ho regolamentati io? Ci sta, lo accetto, perché sono consapevole della variabilità. Però mi devi giustificare il perché alcune cose non le hai fatte o le hai fatte in modo diverso."

È uno strumento meno rigido, più aderente a un contesto che cambia, anche perché la gestione degli eventi si tira dietro un elemento caratterizzante: le aziende ogni giorno si inventano un evento nuovo, quindi non è possibile avere un binario troppo stretto in cui operare. Puoi stare fuori da quel sentiero, ma mi devi giustificare, se te lo chiedo, il perché. Quindi ancora più accountability.

È chiaro che per applicare una linea guida non ho bisogno solo di una persona che conosca le procedure e le regole, ma ho bisogno di una persona che sia consapevole di che cosa vuol dire applicarle.

Andrea Chiozzi: Chiarissimo. Francesca, tu le procedure come le vedi?


Avvocato Bassa: Io sono pro-procedura da sempre. Secondo me sono un utilissimo strumento per la prevenzione del rischio. Punterei l'accento sulla consapevolezza perché, quando parliamo di eventi - dove la variabilità è veramente vasta e abbiamo anche tante vulnerabilità - è importante che il team marketing che si occupa della gestione degli eventi sia formato sul trattamento dei dati personali e sulla privacy.


Ci vuole consapevolezza: bisogna conoscere gli strumenti e il loro impatto sui dati

Avvocato Bassa: E nello stesso tempo consapevolezza significa conoscenza degli strumenti che hai in mano. Quindi conoscere i social, come si muovono e come effettivamente trattano i dati personali. Dove si trovano i social. Ne abbiamo parlato molte volte: crediamo che i social siano solo americani, ma non è più così. Molte aziende iniziano a fare business con social che non sono americani ma sono, ad esempio, cinesi, come TikTok. Per cui è importante avere consapevolezza di dove finiscono i dati.

Secondo punto è stabilire delle regole all'interno del team marketing.

Consapevolezza significa quindi formazione e darsi delle regole di gioco, considerando che il marketing non avviene solo online, ma che ci sono degli eventi, come per esempio le fiere, che vengono organizzati fisicamente e dove anche noi come consulenti dobbiamo essere in grado di indirizzare il cliente, in modo tale che il trattamento dei dati personali venga fatto in modo lecito. 

Dovremmo essere informati fin da subito dell’evento, perché poi cosa succede: il marketing avvia l’evento e poi chiama il consulente, mentre il consulente dovrebbe invece conoscere fin da subito qual è il progetto dell’evento per verificare che il trattamento sia lecito. 

Anche perché la maggior parte degli eventi ormai è costruita come un mix online e offline. Si usano tablet per la raccolta dei dati e allo stesso tempo flyer cartacei. Il cliente – l’azienda che organizza l’evento - deve essere consapevole del valore dei dati e di come questi possono dare valore al business, ma anche che siano raccolti in maniera conforme al GDPR.
 

Procedure + linee guida + consapevolezza = accountability

Andrea Chiozzi: Quando parliamo di evento pensiamo sia all'evento fisico - i matrimoni, per esempio, la fiera e altre situazioni - ma anche all’evento digitale.
Quindi dove il posto fisico diventa digitale o entrambi: c’è l’evento fisico, che poi viene pubblicato online o l’evento con una parte fisica e una online…

Visto che tutti quanti noi consulenti abbiamo il problema che se il cliente non ci dice prima che sta per fare un evento, abbiamo difficoltà ad intervenire, allora chiedo: le procedure su questo ci possono dare una mano? Come facciamo a obbligare i Direttori Marketing, i Responsabili della comunicazione, l’Amministratore Delegato a farci contattare preventivamente? 

Esiste un modo per procedurizzare questa cosa? Se sì, come fare? Se l’azienda è ISO 9000 e non ci contatta, riusciamo a infilare una procedura in cui diciamo che se non mi contatti, ti taglio l’indice della falange? Scherzo, ovviamente, anche se un po’ il canino mi esce… 

Vuoi leggere il resto e sapere come fare in modo che i tuoi clienti ti contattino prima di organizzare l’evento? 

Hai due possibilità:
1) puoi aspettare l’uscita del prossimo articolo, in cui vedremo insieme a Monica e Francesca alcuni esempi e alcune strategie per spronare il cliente a coinvolgerti quando ancora sta covando l’evento, non quando la frittata è stata fatta;
2) puoi iscriverti a Raise Academy ADESSO e accedere a questo LIVE e ad altri contenuti con i massimi esperti di GDPR, privacy e cybersicurezza in Italia. 


Perché questo era solo un assaggio!


La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

PARTNER BD LEGAL - STUDIO LEGALE

Studi:
Laurea in Legge presso l’Università Bocconi, Business Law specializzazione in diritto internet, Milano. Tesi: “La tutela della privacy e tecniche di pubblicità online”.
Master Universitario di II livello in “Sicurezza delle informazioni e Informazione strategica” (SIIS) presso l’Università La Sapienza (dipartimento di ingegneria informatica) conseguito con borsa di studio della Presidenza del Consiglio. Tesi: “Il funzionamento e la privacy nei CERTs italiani ed esteri”.
Master Federprivacy in “Privacy Officer e Consulente della privacy”, Roma.
Lawful Interception Academy presso la Scuola di Polizia Tributaria, Roma.

Attività Professionale:
Francesca è Avvocato e Partner dello Studio bd LEGAL di Milano, esperienza ultra decennale in diritto delle tecnologie, in particolar modo per quanto riguarda la compliance della protezione dei dati personali, opera in questo settore fin dal conseguimento della laurea.
Si occupa di assistenza stragiudiziale. Ha iniziato il suo percorso professionale lavorando prima in Telecom Italia a Roma, presso il dipartimento Antitrust e poi nel team legale di Google a Milano, dove si è occupata prevalentemente di diritto all’oblio e di rimozioni online. Durante gli anni a Roma, ha collaborato con il Ministero dello Sviluppo Economico nell’ambito della cybersecurity (presso l’ISCOM – CERT nazionale) e su progetti di educazione digitale. A Milano ha lavorato presso una prestigiosa società di consulenza legale.

Assiste primarie società italiane di stampo internazionale su tutto il territorio nazionale, coordinando progetti di compliance GDPR e di adeguamento normativo, offrendo assistenza anche come DPO esterno.

È membro della Comunità SIIS dell’ Università La Sapienza. È Delegato dell’Associazione di Federprivacy e membro del network “Idraulici della Privacy”. È Privacy Officer e Consulente della Privacy certificato TUV Italia con licenza cdp_240 dal 2015. Ha vissuto e studiato in Canada.

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy