Il nuovo Regolamento Europeo in materia di protezione dei dati personali, noto come GDPR, ha mutato profondamente il quadro della normativa connessa alle nuove tecnologie, introducendo per la prima volta misure solide e strutturali per fronteggiare le nuove sfide dell’economia digitale.
Compliance
A partire da maggio, queste misure dovranno essere implementate in ogni realtà che si trovi a gestire dati relativi ai cittadini dell’Unione Europea, in qualsiasi Paese si trovi l’organizzazione in questione. Il rischio per chi non si dovesse mettere in regola è quanto mai concreto: l’inosservanza delle norme porta con sé sanzioni significative, che possono arrivare fino al 4% del fatturato globale annuale complessivo.
E’ una normativa che tocca organizzazioni di ogni settore e dimensione, chiamate a mettersi in conformità in tempi ormai brevi, non più procrastinabili.
Le aziende più grandi e organizzate si stanno strutturando internamente, rivedendo i loro processi per renderli conformi in ottica di trasparenza e gestione semplificata, ma anche le piccole aziende sono interessate dal processo di compliance, e con loro gli studi professionali.
Dati aziendali
I professionisti italiani, compresi quelli che operano per conto di PMI trattando quotidianamente dati personali riferiti a lavoratori, clienti e fornitori, dovranno infatti fare i conti con questa nuova disciplina, perché saranno ritenuti responsabili della riservatezza dei dati che gestiscono. In particolar modo per quelle realtà che hanno a che fare con dati sensibili – si pensi agli studi di commercialisti e fiscalisti.
Per arrivare pronti all’appuntamento con il GDPR, i professionisti dovranno anche definire una sorta di check list che include, per esempio, il grado di consapevolezza dei cambiamenti imposti dalla nuova regolamentazione, l’organizzazione necessaria ad attribuire le responsabilità, il censimento dei dati e dei processi di trattamento.
DPO
Uno dei principali elementi di novità è dato dalla figura del Data Protection Officer (figura interna o esterna all’azienda): il DPO avrà un compito determinante, sarà un supervisore indipendente che avrà una posizione molto simile a quella dell’Organismo di Vigilanza (ex d.lgs. 231/01) con la finalità di garantire che l’organizzazione sia conforme al GDPR.
To do list per studi
Gli studi professionali si dovranno occupare di molte attività, in particolare:
- analisi del perimetro, dei processi e della profilazione dei trattamenti
- analisi del rischio e delle misure di sicurezza adottate
- definizione del modello di gestione, profilazione dei ruoli, creazione registri e informative
- piani di formazione e audit annuali
- identificare le contromisure necessarie per mitigare il rischio
Consulenza
Come possono dunque affrontare al meglio una normativa così complessa gli studi professionali, che con le loro dimensioni difficilmente potranno individuare al loro interno le competenze necessarie?
La soluzione più efficace, tenendo conto anche delle risorse tipicamente disponibili, può essere quella di affidarsi a loro volta a una realtà specializzata nella gestione di problematiche di privacy e sicurezza, in grado di supportare l’identificazione e l’adozione di servizi e tecnologie necessarie.
Questo consente di acquisire competenze, eventualmente da rivendere ai propri clienti, senza la necessità di investimenti preliminari significativi. Il vantaggio può essere notevole, in termini di flessibilità operativa e di massimizzazione delle risorse disponibili.
Affidarsi a un partner competente, in questo senso, può aiutare uno studio professionale non solo ad affrontare con successo il GDPR, ma a tramutarlo in un possibile strumento di business, a tutto loro vantaggio.
_________
di Marco Bavazzano – CEO Axitea