Iniziamo esaminando la realtà aziendale del cliente e cercando di definire con chiarezza i tempi e i costi per ottenere il risultato finale. Anche se operiamo a distanza, cerchiamo sempre di parlare con i nostri clienti, trasmettere il giusto messaggio (non ci interessa “spaventare” con le multe previste per chi non è in regola), comunicare che l’adeguamento alla normativa è un’occasione importante per la crescita aziendale.

Analizziamo in dettagli i processi lavorativi e definiamo tutte i trattamenti esistenti nell’azienda. Per ottenere un risultato preciso e conforme alla realtà abbiamo bisogno di interagire con personale interno che abbia visibilità e conoscenza su tutte le procedure di lavoro aziendali. Usiamo la nostra esperienza per evidenziare trattamenti che probabilmente sono in uso, ma che inizialmente non sono stati elencati, perché di raro utilizzo o poco comuni.

Punto importante dell’attività consiste nello stilare l’elenco completo di tutte le persone coinvolte, siano essi dipendenti, collaboratori o società esterne a cui vengono affidati i dati. E poi le sedi e gli archivi (cartacei o digitali) dove vengono effettuati i trattamenti. Questa visione di insieme, che entra nel dettaglio fino al singolo operatore o al singolo strumento utilizzato, consente di coprire la totalità dei dati trattati, senza lasciare nulla al caso.

Il GDPR pone molta attenzione su quelle che dovono essere le misure di sicurezza per garantire il corretto trattamento dei dati personali. Anche quando vengono richiesti dei docuemnti specifici, come la Valutazione di Impatto (DPIA) o le procedure necessarie a gestire i Data Breach, questi devono essere degli strumenti proattivi, che consentano di analizzare e dimostrare l’effettiva correttezza delle procedure adottate. Con la nostra profonda esperienza nella sicurezza informatica, possiamo analizzare in dettaglio la situazione attuale e proporre gli eventuali miglioramenti necessari.

Finito tutto il lavoro, sarebbe tutto inutile se non ci si preoccupasse di formare adeguatamente tutte le persone coinvolte. Organizziamo corsi specifici per figure centrali come il DPO o il Referente Privacy, come anche corsi più pratici e operativi per tutti gli incericati. Il Titolare del Trattamento, oltre tutti gli altri adempimenti, deve dimostrare di aver adeguatamente formato tutte le figure che dipendono dalle sue decisioni. Senza dimenticare tutti i Responsabili Esterni, che devono ricevere le corrette istruzioni per i trattamenti. E la formazione non va fatta solo una volta, ma deve essere continua nel tempo, per consentire l’aggiormanento in una disciplina, come la protezione dei dati personali, che assume sempre maggiore importanza e si evolve costantemente.