A ridosso del 25 maggio 2018, il Web ha visto proliferare una incredibile quantità di software GDPR-compliant, con l’inevitabile e conseguente effetto di amplificare, per effetto anche del social marketing, la confusione sull’argomento di imprenditori e professionisti.
In ottica di accountability, cioè del principio di responsabilizzazione sul proprio operato in termini di trattamento, così come recepito dall’art.24 del GDPR, l’organizzazione è chiamata a decidere ed attuare meccanismi pratici (non formali) in piena consapevolezza e con l’obiettivo di salvaguardare i diritti e le libertà fondamentali degli interessati.
Un software per la gestione degli adempimenti privacy può allora diventare uno strumento utile a perseguire tale obiettivo, ma evidentemente limitato e non sufficiente nel rispetto delle regole introdotte dal GDPR, tantomeno quelle presenti nel Codice Privacy D.Lgs. 196/2003 così come modificato dal D.Lgs. 101/2018.
Indice degli argomenti
Software GDPR-compliant: l’importanza di scegliere bene
Il business dei software privacy è pressoché evidente: promosso da molte software house già ampiamente presenti nelle PMI italiane, per mezzo di prodotti ICT che spaziano dai sistemi ERP a soluzioni di sicurezza, tentano di fornire un ulteriore servizio “chiavi in mano” sfruttando la domanda di tutela nei confronti delle sanzioni da parte delle molte aziende italiane all’indomani del 25 maggio 2018.
Se colloquialmente possiamo affermare che è la domanda che fa l’offerta, si intuisce quanto sia vera nello specifico caso dell’introduzione del GDPR, dove il mercato ha richiesto carte, formalismi, liberatorie e scarichi di responsabilità figlie dell’ormai superato sistema ex 196/2003, dove rappresentavano per molti il viatico per la conformità privacy.
Basta effettuare una semplice ricerca Web utilizzando le parole chiave “software” e “GDPR” e nel migliore dei casi questi sono pubblicizzati come strumenti utili alla conformità in materia di dati personali, mentre nei peggiori dei casi sono proclamati come gli strumenti per la piena conformità privacy.
Tanto premesso, l’organizzazione che valuti l’ausilio di uno strumento gestionale e di supporto al lavoro di quotidiana ricerca e perseguimento della cosiddetta conformità GDPR, può comunque considerare l’opportunità di avere una gestione dei propri documenti e scadenze attraverso un’unica interfaccia, purché tale scelta sia orientata a selezionare uno strumento che abbia come finalità l’efficienza nella gestione interna e non una irrealistica conformità GDPR.
A tal fine, per orientarsi tra gli strumenti messi a disposizione dal Web è possibile prendere in considerazione diversi fattori, spiegati in dettaglio nel seguito:
- competenze;
- presentazione del prodotto;
- funzionalità;
- Office come alternativa
Competenze come asset di base per usare i software GDPR-compliant
Un imprenditore o professionista dovrebbe valutare innanzitutto se ha le competenze per poter utilizzare un software che ha l’obiettivo di fornire un supporto su una normativa complessa quale è il GDPR. Tutti i prodotti venduti online sono infatti proposti con glossari di varia forma e natura, ma l’interpretazione della norma non è mai da sottovalutare. Senza una specifica formazione difficilmente egli riuscirà ad esempio a distinguere tra “Titolare della ditta” e “Titolare del trattamento”, senza considerare i casi più complessi relativi a “decisioni automatizzate” che hanno implicazioni sulla persona, profilazione, necessità di pseudonimizzazione o corretto periodo di conservazione dei dati.
L’utilizzo di un software altamente specializzato in materia privacy implica infatti delle competenze che sono essenziali per valutare i propri trattamenti, così come i rischi annessi alle relative operazioni di trattamento. Nel migliore dei casi i software garantiscono l’aderenza a standard internazionali sulla sicurezza informatica, quale la ISO 27001, oppure le linee guida consolidate nel settore, come quelle ENISA in ambito di protezione dei dati personali, con criticità e rimedi preimpostati.
Ma interpretare correttamente le domande dei relativi questionari è fondamentale per non inficiare i risultati dei relativi test, come nel caso delle informazioni da fornire per valutare o meno la necessità di DPIA per uno specifico trattamento.
Pertanto le competenze rientrano tra le variabili decisionali, inclusa la possibilità di usufruire di un adeguata assistenza da parte del fornitore del servizio, che sia non solo di tipo tecnico, ma anche e soprattutto di tipo interpretativo, essenziale per calare la propria realtà imprenditoriale in una struttura preimpostata, tipica di un software standardizzato o al massimo modulare.
Diffidare dagli “specchietti per le allodole”
Le piattaforme social e la pubblicità online sono un utilissimo strumento per farsi conoscere ed apprezzare, ma le informazioni in esso veicolate, possono alterare la percezione da parte dell’utente. In particolare, qualsiasi strumento pubblicizzato come “software GDPR-compliant” si presenta in modo almeno ambiguo, in quanto, come si è avuto modo di sottolineare sopra, nessuno strumento software può vantare pretese di esaustività in materia, tantomeno certificare una conformità.
Inoltre, anche il prezzo è una variabile da tenere in considerazione. Poche centinaia di euro l’anno possono sembrare allettanti per chi si trova ad avere necessità di conformarsi alla nuova normativa, ma rappresentano un evidente ostacolo alla personalizzazione del servizio e al supporto post-vendita offerto al cliente. Sebbene possa risultare scontato, è inevitabile rimarcare che le competenze sono difficili da ottenere, difficili da reperire e la professionalità ha un costo proporzionale.
Infine, modularità non significa personalizzazione. I software disponibili sono strumenti modulari, cioè costituiti da applicativi o funzionalità che possono essere combinati tra loro. Tali moduli sono comunque standard e pertanto concepiti con l’obiettivo di essere applicabili alla maggior parte delle casistiche (aziende e trattamenti) presenti sul mercato. L’imprenditore dovrebbe essere allora consapevole di quanto il proprio business sia sacrificabile in termini di specificità e quali siano le eventuali ricadute in termini di protezione dei dati degli interessati.
Scegliere tra le funzionalità presenti
I diversi software disponibili online si caratterizzano per la presenza di diverse funzionalità. Fondamentalmente, questi dovranno almeno rispondere ai rarissimi requisiti di “registro” del GDPR; pertanto, di base dovrebbero comprendere i registri delle attività di trattamento, di titolare e responsabile, ed il registro dei data breach. In entrambi i casi, la loro aderenza a quanto prescritto nel GDPR può essere verificata solo conoscendo la normativa o affidandosi alla reputazione della software house.
In aggiunta ai predetti “registri” alcuni software propongono lettere di nomina per responsabili del trattamento precostituite, includendo anche la possibilità di generare delle schede relative alle persone autorizzate al trattamento, in cui è possibile riportare che tipo di trattamenti il soggetto è autorizzato ad effettuare. In quest’ottica è bene optare per schede che possano essere poi gestite attraverso un pannello generale, magari che ne riassuma le caratteristiche base e riporti una mappatura dei flussi di dati.
Vi sono poi software più complessi nei quali sono presenti anche dei percorsi per la valutazione dei rischi annessi al trattamento. In questo caso è opportuno conoscere le basi su cui tali valutazioni sono poi effettuate in automatico (ISO, Linee Guida ecc.) ricordando che la responsabilità interpretativa è sempre di chi compila il questionario annesso.
In definitiva, possono essere moltissime le funzionalità proposte, ma è fondamentale ricordare che queste devono sempre essere scelte in base all’efficienza che possono fornire a chi le adopera. Come si è detto in precedenza, il titolare che opti per l’utilizzo di un software cosiddetto GDPR, dovrà essere consapevole dei limiti intrinsechi di questo strumento, concepito come mezzo facilitatore nelle attività di conformità GDPR ma rispondente a pochi “veri” requisiti formali.
Office come possibile alternativa
Un utilissimo termine di paragone per i software online è il foglio di calcolo Excel e il foglio di lavoro Word. Stante le competenze, la necessità di supporto nella gestione delle poche formalità presenti nel GDPR, sarebbe opportuno chiedersi se registri, autorizzazioni e contratti di servizio non siano gestibili attraverso il pacchetto Office, già presente nella maggior parte delle realtà imprenditoriali o professionali italiane.
Il software in analisi dovrà dunque superare, in termini di efficienza e assistenza alle attività di conformità, i vantaggi di utilizzo del ben noto strumento Microsoft, tra cui la possibilità di non aggiungere costi ricorrenti (ad esempio annuali) all’azienda, con la possibilità di dedicare le risorse risparmiate in un corso professionale e quindi investendo in prevenzione.
A ben pensare il costo maggiore per l’azienda non risiede nella consulenza di un professionista, quanto piuttosto nelle misure da porre in essere una volta subìto un data breach oppure, nel caso sia accertata una violazione delle norme da parte dell’Autorità, nelle probabili sanzioni ed eventuali danni in termini di reputazione.
