GDPR e consulenza, un approccio ragionato (?)... (come scegliere un consulente... piccolo aiuto)

Un approccio ragionato...

Quando è arrivato il momento di mettersi in regola definitivamente con il GDPR, come consulente ho intravisto una possibilità concreta di intervento, ma mi sono anche posto delle domande "di modo", nel senso che fare consulenza alle aziende è, per mia formazione, un incarico pieno di responsabilità, etiche ancor prima di legali, per cui mi sono posto alcune domande...

• Sono in grado di recepire correttamente il GDPR senza avere una specifica formazione giuridica? E quindi posso fornire un servizio di qualità all'azienda e garantire senza indugi la compliance?
• Posso garantire all'azienda che la mia consulenza possa essere un valore aggiunto che ripaga sotto qualche forma il valore investito?

Confesso che a queste prime domande la risposta è stata un NO, quindi mi sono interrogato come poteva essere possibile 

• Fornire "un impianto organizzativo" che garantisse NON SOLO la compliance, ma anche la sua continuità
• Fare in modo di fornire "un piccolo valore aggiunto" ad una mera consulenza derivante da un obbligo legale

La risposta per chi come me si occupa di Sistemi di Gestione e di organizzazione è stata naturale: questa nuova norma richiede conoscenze specifiche e modalità di ragionamento diverse rispetto alla "normale attività" di un avvocato, e nel contempo anche uno specialista della materia ha comunque il dovere non solo di "adattare" lo schema organizzativo più adatto alla specifica realtà, ma anche di garantirne la sua attuazione e il suo mantenimento, e ancora verificarne la compliance a livello informatico, il che richiede competenze tecniche di livello medio/medio-alto.

Diventa quindi evidente che per fornire un servizio completo e di qualità è necessario un approccio olistico, ovvero un approccio di tipo multidisciplinare garantito da specialisti della parte giuridica, specialisti di organizzazione e specialisti di sicurezza informatica; 

in funzione della realtà approcciata questi ingredienti possono essere dosati diversamente, ma non c'è dubbio che solo un mix bilanciato e corretto di tutte le competenze può garantire all'azienda un servizio funzionale e fruibile.

Costi, software, servizi, nuove professioni...

• COSTI: un approccio olistico POTREBBE (non è matematico, anzi...) risultare più costoso rispetto alla mera consulenza fornita da un avvocato/commercialista/sistemista... (credetemi, ne abbiamo viste di tutti i colori) ma sicuramente fornisce una maggiore garanzia di compliance, inoltre 

"apre la strada" all'introduzione di un Sistema di Gestione, "traducibile" nello standard Annex SL (o HLS "High Level Structure") che, contrariamente a quanto dicono alcuni "puristi legali", si adatta PERFETTAMENTE al GDPR, e fornisce una guida CONCRETA E FRUIBILE al management che può in questo modo iscrivere la "Compliance GDPR" tra i Processi gestiti.

• SOFTWARE: un software per la gestione del GDPR dovrebbe essere solo un software "di servizio", che consenta agli utilizzatori di essere facilitati nella conservazione, nella gestione delle scadenze, nel reperimento di informazioni, nella gestione di flussi documentali... ecc... DIFFIDATE FORTEMENTE DEI SOFTWARE TUTTOFARE, che con 200 Euro vi forniscono un "kit di compliance GDPR uguale per tutti", con Check List generiche precompilate, Analisi dei Rischi (!) precotte, premasticate e predigerite e tools generici di vario tipo. Se quindi vi serve un aiuto per gestire situazioni particolarmente complesse cercate un software ALTAMENTE PERSONALIZZABILE, SICURO (un software per la gestione della compliance deve essere prima di tutto... compliant!), SEMPLICE DA UTILIZZARE, UTILIZZABILE ANCHE DA TERZI (magari con possibilità di workflow e gestione di permessi, per permettere anche ad un DPO esterno o ai vostri consulenti di gestire la documentazione anche da remoto). LE PAROLE CHIAVE IN QUESTO CASO SONO ACCOUNTABILITY. E ANALISI DEI RISCHI... 

SUL SERIO siete disposti a rischiare COSI' TANTO per un risparmio COSI' RISIBILE?

• SERVIZI: oggi le aziende lamentano "un eccesso di consulenti", ma se mi permettete forse più che sui costi occorrerebbe concentrarsi sui risultati positivi che le consulenze erogate hanno portato all'azienda, e se vi hanno portato BENEFICI TANGIBILI e se vi trovate bene con i vostri consulenti, chiedetegli di approfondire il discorso a proposito di un Sistema di Gestione... Oggi i temi sono tanti, 
• dalla ISO 9001, 
• alla 231, 
• al GDPR, 
• alla necessità di implementare un Sistema di Gestione Sicurezza per i dati e le Informazioni (o certificarlo ISO 27001), ecc... 

e se è vero che non c'è una risposta unica per risolvere "magicamente" tutti i problemi è anche vero che l'introduzione di un Sistema di Gestione HLS permette all'azienda di costruire una base di Sistema di Gestione che può essere completata con gli argomenti specifici

• NUOVE PROFESSIONI: il rapido evolversi della tecnologia e dei Sistemi Organizzativi porta inevitabilmente a generare nuovi bisogni e nuove professioni; ad oggi dove IL DATO è l'oggetto del desiderio tanto da definire la società in cui viviamo una "Data driven society" dove VERAMENTE TUTTO sarà gestito con i dati, è facile comprendere che la richiesta di figure in grado di colmare gap tecnologici e di conoscenza è in continuo aumento, quindi ad oggi possiamo parlare di... 

• ICT Security Manager (Manager della Sicurezza ICT), 
• ICT Security Specialist (Specialista della Sicurezza ICT), 
• Web Security Expert, 
• Responsabile di sistemi per la gestione della sicurezza delle informazioni, 
• Responsabile della sicurezza dei sistemi per la conservazione digitale, 
• Responsabile della continuità operativa (ICT), 
• Responsabile della sicurezza delle informazioni (CISO), 
• Manager della sicurezza delle informazioni, 
• Analista di processo per la sicurezza delle informazioni, 
• Analista tecnico per la sicurezza delle informazioni, 
• Analista forense per gli incidenti ICT, 
• Specialista di processo della sicurezza delle informazioni, 
• Specialista infrastrutturale della sicurezza delle informazioni, 
• Specialista applicativo della sicurezza delle informazioni, 
• Data Protection Officer (DPO)
• ...

ovviamente tra queste diverse figure ne troviamo alcune molto simili, e altre che hanno senso solo in determinati contesti, ma sia che parliamo di profili tecnici sia di profili gestionali, il mercato inizia ad avere la necessità di reperire queste competenze, ma non può permettersele "full time", per cui, tranne che in rari casi ci si rivolge a specialisti esterni...

L'ennesimo consiglio; non definite a priori le risorse, ma... 

1. DISEGNATE il vostro PROCESSO (di compliance, di sicurezza,...), 
2. stabilite quali attività fanno parte del vostro processo, 
3. definite le risorse necessarie a svolgere quelle determinate attività (denaro, personale interno, TEMPO)
4. effettuate un'analisi dei rischi sul processo, 
5. cercate i vostri specialisti... se poi trovate già "un team" completo ed affiatato... tanto meglio

Buona fortuna!

se avete dubbi e necessitate di chiarimenti... contattatemi