Aziende e GDPR: qualcosa sta cambiando

04 aprile 2024Ultimo aggiornamento 11 luglio 2024
Tempo di lettura stimato: 4'
20 anni fa, nel gennaio del 2004, in Italia, entrava in vigore il Codice in materia di protezione dei dati personali (decreto legislativo 196/2003). Se guardiamo indietro, vediamo che di cose ne sono successe tante. Dal Codice siamo passati al GDPR, da una legge siamo passati a un regolamento valido in tutti gli Stati dell’Unione Europea. E le aziende? Nel tempo il loro atteggiamento è rimasto lo stesso o è cambiato qualcosa?

Secondo me, qualcosa è cambiato. Non tanto nella norma - il nostro Codice non era poi così malvagio, tant'è che lo abbiamo ritrovato in parte nel GDPR – ma piuttosto nell’atteggiamento delle aziende.
 
Quindi, se tiro le somme, vedo che, dal punto di vista normativo, c’è stato sicuramente un cambiamento, ma non tanto grande quanto quello che ho visto nelle aziende.

Dalla privacy come l’ennesimo balzello, alla consapevolezza che i dati sono un valore aggiunto

Mi pare che negli anni sia cambiato - e stia cambiando tuttora - l'approccio delle aziende alla privacy. Fin da subito, in parte ancora oggi, la gestione e il trattamento dei dati personali sono stati percepiti come una fatica, una tassa da pagare, una cogenza che, se non ci fosse stata, sarebbe stato meglio.
 
All'inizio, con l’entrata in vigore della 196, si percepiva in modo molto forte e la stessa cosa è avvenuta col GDPR.
 
Mi accorgo, però, che oggi questo approccio è diverso: si è capito che avere sotto controllo il dato personale, in realtà, dà un boost all'azienda.
 
È vero, non vale per tutte le aziende, ma in diverse organizzazioni si è passati dall’idea del "devo adeguarmi per non prendere una multa", “lo faccio perché c'è la sanzione, ma se questo balzello non ci fosse, non lo farei”, a un approccio più virtuoso.
 
Confrontandomi con diverse imprese, ho notato che in alcuni ambiti - nel marketing, per esempio – sapere che l’azienda tratta i dati personali in maniera corretta è un valore aggiunto. Perché è un valore che sta cominciando ad arrivare al consumatore e quindi alle aziende stesse, in risposta alle esigenze del mercato.
 
Questo è quello che sta cambiando, secondo me, rispetto al passato.
Purtroppo, c’è qualcosa che resta uguale: la serie di professionisti che girano intorno al mondo del GDPR, il cui approccio, spesso, è legato solo al timbrino…

Consulenti privacy e GDPR: l’approccio della privacy al chilo

Spesso, non sempre, ma spesso, mi capita di trovare consulenti privacy e GDPR che approcciano la conformità come se di mestiere appiccicassero i timbri postali:
 
“Qua ci sono i documenti, toh!”
“Qua c'è il foglio di Excel, tieni!”

E quando il cliente chiede: “Grazie ma… cosa devo fare?”
I consulenti da timbro postale rispondono: "Ho già fatto tutto io!"
 
Una frase che a me suona un po’ da commercialista. Non per parlar male dei commercialisti, perché vale anche per gli avvocati, vale per tanti professionisti. Non tutti. Diciamo molti. E comunque di quelli che non hanno percezione che il trattamento dei dati personali non è una piccola parte del loro lavoro, ma si estende su tutta la filiera dell'azienda.
 
E che non hanno capito ancora che la privacy non vuol dire “compilare fogli”.

“Hai fatto la privacy?”
“Sì!”
“Quanto è alta?”
“3 cm!”
“La mia 7 cm”
 
È l’approccio della privacy al chilo. Ed è un approccio non tanto delle aziende, ma di chi fa consulenza alle aziende.
 
Non si può guardare al trattamento dei dati personali come se negli anni, dalla 196 e dal GDPR, non fosse cambiato nulla.

Il trattamento dei dati personali non è un cactus

Sono passati anni dall’entrata in vigore del GDPR e io mi sento ancora uno studente. Col tempo ho capito che una serie di intuizioni iniziali della norma si sono rivelate giuste e una serie di approcci invece sono cambiati. Sono uscite nuove interpretazioni, l'EDPB (European Data Protection Board), cioè gli stessi Garanti europei, negli anni hanno dato spiegazioni sul perché di certe interpretazioni. L’approccio al trattamento dati non è cambiato, ma si è arricchito di considerazioni e percorsi in maniera importante: la cookie law, il marketing, adesso l’intelligenza artificiale

Quindi chi è rimasto al 2018, al 2019, al 2020, è rimasto fermo
Il GDPR è qualcosa di vivo.
 
Non puoi interrare una pianta e dire non le do più acqua, tanto fra 5 anni cresce.
I cactus funzionano così (forse). Ma un po' d'acqua devi dargliela, un po' di terra devi cambiarla. 

Il trattamento dati non è un cactus. È un bonsai abbastanza delicato.
E va approcciato di conseguenza.
 
Bene. Come?
Per esempio con un Privacy Management System.
Cos’è?
Per saperlo hai due possibilità:

1) Aspettare il prossimo articolo del blog, in cui ti parlo proprio di questo
oppure
2) Iscriverti a Raise Academy e seguire la live “Perché hai disperatamente bisogno di un Privacy Management System (e perché i tuoi consulenti non te ne hanno ancora proposto uno)”, che ho tenuto insieme a Maurizio Bulgarini, cofondatore e managing partner di Smart Flow, società torinese di consulenza direzionale, dove gestisce la business unit dedicata alla Data Protection.
 
Perché questo è solo un assaggio!

La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è il fondatore di PRIVACYLAB, per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy