Approcciare il tardivo adeguamento privacy in una PMI

Negli ultimi mesi le aziende italiane sono state inondate di informazioni legate all’introduzione, anche in Italia, del Reg. UE n. 679/2016, che andava ad aggiornare il quadro normativo in materia di tutela della privacy.

Per la verità, dell’esistenza di questa evoluzione normativa (e della sua data di entrata in vigore), si era a conoscenza già dal 2016. Ciò nonostante, moltissime imprese, specialmente se non dotate di uno specifico responsabile della privacy, si sono trovate ad affrontare l’aggiornamento, nelle migliori delle ipotesi, con pochissimi giorni di tempo; nella peggiore ipotesi, addirittura in ritardo e con il rischio di vedersi per questo sanzionate (in modo significativamente oneroso, ndr). Dopo qualche settimana dalla data di entrata in vigore del citato regolamento, il ritardo sul pieno adeguamento era ancora piuttosto diffuso e in soccorso delle imprese sono giunti elementi normativi nazionali di proroga: in ultimo è intervenuto il D.Lgs. 101/2018 (del 10 agosto) che ha “recepito” e integrato il regolamento europeo nell’ordinamento italiano, entrato in vigore solamente il 19 settembre 2018.

Come tutti i cambiamenti, anche quelli legati alla compliance necessitano di un’adeguata metodologia di approccio al fine di evitare dimenticanze, ridondanze o altre problematiche in grado di generare rischi. L’approccio di seguito esposto, è calibrato e orientato a quelle aziende che, ancora oggi, non hanno provveduto all’adeguamento privacy; va detto però, per semplificare il quadro generale, chel’attuale normativa non si discosta molto dalla precedente. Proveremo dunque, (senza entrare nel merito della materia per cui si rinvia all’ampia letteratura disponibile) ad elencarei passi da compiere per gestire la “messa in regola” di una PMI; processo che sitradurrà, a tutti gli effetti, in un vero e proprio progetto interno.

Il corretto approccio a quest’obiettivo, anche se si è digiuni di diritto, è quello di chiarire in modo semplice le azioni da compiere. Analizzando la situazione di partenza, troveremo un’azienda che ha una sua compliance privacy basata sulla L. 196/2003 e che deve, il prima possibile, adeguarsi alle nuove norme previste in materia di privacy. Tracciate queste prime righe del project charter (documento iniziale di ogni progetto), si dovrà fornire una prima stima del budget disponibile, del termine ideale, delle risorse disponibili, delle persone interessate (stakeholder) e dei rischi generici del progetto in questione.

Una volta descritto l’ambito, inizierà il lavoro di pianificazione vero e proprio. Il primo step da compiere è quello di, mediante l’ausilio del parere di esperti, comprendere la portata innovativa: farsi domande utili per capire quali aspetti siano toccati, le aree-funzioni-persone-processi interessati, le tempistiche (scadenze non note in principio) e le nuove risorse utili (dedite a particolari forme di sicurezza per i dati, nuovi operatori dedicati, software, ecc).

Partendo dagli elementi sopra descritti, occorrerà iniziare a creare un piano in modo “esplorativo”; infatti, non avendo particolare perizia nella materia, non conoscendo la portata del cambiamento da introdurre e avendo (per definizione) poco tempo a disposizione, sarà necessario aggiornare continuamente il piano in modo dinamico e senza cercare di programmare ogni singolo passo sin dall’inizio: insomma, dovremo necessariamente adottare un approccio Agile.

Si possono quindi riassumere gli step di lavoro nelmodo seguente: terminato lo studio degli aspetti innovativi della normativa privacy in relazione alla propria azienda, si dovrà procedere, almeno per le attività iniziali, nello scomporre le attività da compiere in modo via via più dettagliato. Gli elementi così scomposti, accompagnati dalle opportune descrizioni del lavoro da svolgere e del risultato atteso, dovranno poi essere elencati in una sequenza logica. Successivamente, una volta stimata la tempistica di realizzo di ciascuna attività, si potrà procedere con la stima delle risorse necessarie, sia materiali che umane. Verranno infine approfonditi i rischi (andando via via ad ampliarne l’elenco nel quale si colloca alla prima posizione la sanzione prevista in caso di accertamento di non regolarità della società).

Il documento così creato, sarà continuamente aggiornato nel corso delle diverse fasi di progetto (esecuzione, controllo e chiusura) al fine di poter avere un riferimento sempre aggiornato sul lavoro da compiere, il livello dello stesso, il suo ambito e i requisiti. In ultima battuta, sarà opportuno interrogarsi circa l’opportunità di esternalizzare parte del lavoro rispondendo al quesito: ci sonogià adeguate risorse interne per eseguire il progetto? Nel caso in cui la risposta fosse positiva, si opterà per l’internalizzazione completa o parziale. In caso contrario si preferirà la totale esternalizzazione. Una riflessione importante riguardante questo aspetto è collegata senz’altro alle competenze delle risorse umane presenti in azienda, il tempo a disposizione per implementare e sviluppare il processo e il costo di un’eventuale implementazione di personale e così via.

A questo punto, quando il piano conterrà informazioni quanto più complete possibili (e istruzioni guida per le informazioni non ancora disponibili) sui primi passi da compiere nella fase d’esecuzione, si potrà definire il calendario delle operazioni e indicare, così, il kick off per l’esecuzione.

Il piano del progetto, durante tutta la fasedi esecuzione e quella dicontrollo, andrà via via aggiornato con le informazioni e i requisiti derivanti dall’avanzamento del lavoro. In particolare, andrà costantemente aggiornata la scomposizione delle attività. Infatti, alcune attività tra quelle individuate, grazie anche alla scoperta di nuovi dettagli riguardanti la normativa e le sue integrazioni con i processi e le funzioni aziendali, diverranno più chiare solo con l’avanzamento dei lavori. Proprio tale impostazione permetterà alle aziende di avere un atteggiamento molto flessibile con la programmazione di risorse, tempi e rischi. Questo renderà lo sforzo aziendale commisurato all’effettivo fabbisogno e il raggiungimento dell’obiettivo del progetto di adeguamento della compliance privacy meno dispendioso possibile in funzione anche delle tempistiche prestabilite.

di Manuel Marzinotto