GDPR: è arrivata l’ora dei conti per le PMI

11/01/2018 - Venezia

Della nuova normativa sulla privacy (GDPR) si parla ormai da tempo (si veda questo precedente articolo sul sito Venicecom.it) ma vediamo ora, conti alla mano, quanto costerà alle PMI adeguarsi.

La strada per le 145.000 piccole e medie imprese italiane, sarà per forza di cose diversa da quella delle grandi aziende europee: il 75% di queste ultime infatti investiranno almeno 5 milioni di euro, con l’assunzione di almeno 2 o 3 dipendenti dedicati a tempo pieno al tema privacy (*dati IAPP-Ernst & Young del Governance Report).

Per le imprese sotto i 5 milioni di euro di fatturato, è verosimile ipotizzare che l’investimento complessivo non supererà i 50.000 euro per l’adeguamento e 25.000 euro invece per la gestione ordinaria degli adempimenti. Questi budget impongono certamente delle scelte strategiche riguardo ai processi da adottare per adeguarsi, per questo le PMI metteranno in pratica una delle seguenti strategie:

  • Adeguamento “legale” alla normativa. Si attuerà un adeguamento più di forma che di sostanza (revisione delle informative sulla privacy, policies dei dipendenti, regolamentazione sul trattamento dei dati condivisi con altre aziende, anche all’estero ecc.)
  • Adeguamento tecnologico e strutturale dell’azienda. Queste PMI approfitteranno del GDPR per rimodernare le loro infrastrutture IT, arretrate anche rispetto all’attuale Codice sulla Privacy.

E’ evidente che entrambe le strade porteranno le aziende ad un risultato “a metà” infatti, secondo IDC, il 78% delle PMI italiane è pronto per il DGPR e per la sua scadenza di maggio del 2018.

Ecco di seguito 3 suggerimenti che possono aiutare le PMI ad arrivare più preparate all’appuntamento di maggio:

  1. Investire in infrastrutture IT: su questo aspetto se possibile è preferibile cogliere l’occasione per investire in soluzioni in grado anche di proteggere il know-how aziendale, oltre che i dati personali dei dipendenti o di terzi.
  2. Nominare il DPO il prima possibile: se dopo uno scouting interno, non dovessero emergere figure con competenze specifiche in materia di privacy, si consiglia di procedere prima di maggio 2018 con una selezione esterna, in modo da poter risparmiare sulla gestione futura degli adempimenti.
  3. Scegliere il consulente per la privacy: il GDPR apporta un cambio considerevole al modello di gestione del dato e al principio di accountability (la rendicontazione dell’adeguatezza dei processi aziendali alle norme in materia privacy). Per questo il consulente non può avere solamente le conoscenze legali né solamente le skill informatiche. La scelta deve ricadere su una soluzione che permetta di coordinare la consulenza tecnologica a quella legale.