Privacy Management System: cos’è e perché dovresti averlo

11 aprile 2024Ultimo aggiornamento 11 dicembre 2024
Tempo di lettura stimato: 5'
In un articolo precedente ho parlato di come sta cambiando il rapporto delle aziende con il GDPR e come, spesso, siano proprio alcuni consulenti – non tutti ovviamente - a trattare la privacy con l’approccio sbagliato: come se fosse un adempimento formale e soprattutto “cartaceo”. Bene. Oggi tratto un argomento strettamente legato a questo: il Privacy Management System.
 
Ne ho parlato con Maurizio Bulgarini, cofondatore e managing partner di Smart Flow, società torinese di consulenza direzionale, in una live che trovi su Raise Academy, dal titolo: “Perché la tua azienda ha disperatamente bisogno di un Privacy Management System (e perché i tuoi consulenti non te ne hanno ancora proposto uno)”. Questo articolo nasce proprio dalla nostra conversazione.
 

Cos’è il Privacy Management System?
 

È un sistema che permette a un’organizzazione di gestire tutte le attività relative al trattamento dei dati personali.
 
Bene. Secondo me, te lo dico subito, un’azienda dovrebbe avere un sistema per la gestione della privacy, per una questione di buon senso.

È una questione di buon senso perché non siamo più nel 2003, quando avevamo 5 trattamenti da gestire. Oggi gli adempimenti relativi alla privacy sono molti ed è tutto più complesso.

Ma c’è un problema, non tanto nelle aziende, quanto tra alcuni consulenti, che non propongono di default i Privacy Management System ai loro clienti. Mi sono chiesto spesso il perché. E la risposta che mi sono dato è questa: perché alcuni di loro hanno paura che un sistema di gestione li faccia guadagnare meno o faccia percepire meno la loro professionalità.

Il sistema di gestione della privacy non è molto diverso dal sistema di gestione della contabilità

Ancora molti consulenti privacy trasversali - dal legale al consulente ISO - ritengono che un sistema di management tolga qualcosa alla loro professionalità. E così usano i fogli di Excel, che va benissimo come strumento per le attività più semplici, intendiamoci, ma per gestire la complessità non è adatto.
 
È come un foglio di carta su cui scrivo con la tastiera e non con la biro.
 
Quando c’è complessità serve un sistema.

In più, ragionare così, è un po' come dire: faccio bene il commercialista perché uso i fogli di Excel e ci metto l’intelligenza, per il solo fatto di scrivere a mano. Ma cosa succede se il commercialista utilizza uno strumento non perfettamente adeguato a gestire la mia contabilità? Può anche essere cintura nera dell'approccio fiscale, ma lo strumento determinerà il suo grado di efficienza.
 
Perché compilare a mano significa, inevitabilmente, più errori umani e più tempo da dedicare a un lavoro di data entry.
 
Giusto? 
Bene.
 
Infatti, come clienti, non andremmo mai da un commercialista che ci fa la contabilità compilando a mano un foglio di Excel. Nessuno di noi, oggi. Forse Peppino il panettiere… ma neanche lui ormai, nel 2024, sceglie il commercialista che scrive a mano.
 
Perché un commercialista deve usare un sistema di gestione che gli permetta di:
1) concentrarsi sulle problematiche dell'azienda mettendoci la sua capacità, il suo know how e la sua competenza in maniera corretta, 
2) efficientare la sua attività,  
3) eliminare i tempi, le inefficienze, gli errori che possono esserci usando strumenti elettronici, come Excel.
 
E allora, se prendiamo per assunto che il commercialista debba, come minimo, usare un sistema di gestione, prendiamo buono il fatto che avere uno strumento di gestione del trattamento di dati personali debba essere il minimo sindacale anche per un consulente privacy.
 
Il requisito minimo per fare bene il consulente, per fare bene il DPO.
 

Un consulente può essere bravissimo, ma senza un sistema di gestione è sicuramente inefficiente

La scelta dello strumento Excel è un classico errore di forma e sostanza. È vero che esistono degli strumenti di gestione e controllo che bloccano la capacità del consulente di costruire un modello privacy su misura del cliente. Ma non sono tutti così. E non avere uno strumento di gestione, oggi, vuol dire che il consulente che ti segue può essere efficace e bravissimo, ma sicuramente non è efficiente, perché il rischio di errori è alto.
 
Senza contare che la sua capacità di interazione col cliente, spesso e volentieri, finisce per limitarsi a uno scambio così:

Cliente: "Aiuto! C’è un problema. Alzo la paletta, dammi una mano” 
Consulente: “Mandami i fogli di Excel che ci guardiamo…”

Il cliente manda i fogli e poi diventa tutto un problema di organizzazione, di comunicazione, di mantenimento, di aggiornamento...

Nel 2003 poteva andare bene. C’erano 5 trattamenti in croce da gestire.
Ma nel 2024, il trattamento dei dati personali - vedi solo il lato marketing e GDPR – è un’altra cosa: non è tanto complicata quanto piuttosto caratterizzata da una serie di interazioni che devono essere tenute sotto controllo.

E per tenerle sotto controllo - una volta che io consulente ho deciso le strategie e quant'altro – l’unico modo è usare uno strumento di gestione.
 
Un Excel, un foglio di Word e 2 mail non possono sostituire in maniera efficiente un percorso che devo tenere sotto controllo, di cui devo poter dare evidenza all'Autorità garante e ai miei interessati, nel momento in cui tratto i loro dati personali.
 
E questo per me è fondamentale: la possibilità e la capacità di uno strumento di gestione di efficientare la qualità del consulente.

Sceglieresti mai un commercialista che fa tutto a mano con l’Excel? No.

E allora perché un'azienda dovrebbe scegliere un consulente privacy che non propone uno strumento di gestione? E perché dovrebbe pagarlo per scrivere a mano o per battere sulla tastiera una serie di cose sempre uguali e senza nessun valore aggiunto?

Monkey job VS consulenza

Perché un’azienda dovrebbe pagare un consulente per il monkey job?
 
Cos’è il monkey job? 
Te lo spiego in una riga: dici alla scimmia “Copia questo!” E lei copia.
 
Il tempo che si impiega a gestire le cose così ha un costo sproporzionato, perché è un lavoro che potrebbe fare una scimmia. Fa perdere efficientamento, controllo e poi stiamo parlando di roba da scimmia: pigiare sui tasti. Per non citare il fatto che, al quinto copia incolla, perdersi dei refusi è un niente…

Perché impiegare del tempo buono per fare - potenzialmente - degli errori?

Questo è solo un assaggio!

La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è il fondatore di PRIVACYLAB, per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy