Chiarite le richieste del GDPR e ciò che è opportuno fare per essere adempienti è lecito chiedersi chi si occuperà di questo processo di adeguamento, ricordiamo, inserito in un progetto a lungo termine in linea con gli obiettivi aziendali. È largamente condivisa l’idea che il GDPR sia una questione che deve coinvolgere tutti i livelli del management aziendale, dai dirigenti di alto livello alle altre cariche dell’organizzazione. È infatti opportuno attivare una collaborazione inter-funzionale se le aziende vogliono adeguarsi ai cambiamenti normativi entro i termini previsti, ossia il 25 maggio 2018, e attuare una trasformazione efficace a lungo termine.
Le società che possiedono e utilizzano i dati personali di cittadini dell’UE devono coinvolgere nel processo la maggior parte dei reparti e porsi alcune domande basilari su come e perché i dati personali vengono raccolti e utilizzati, concentrandosi anche sul valore che hanno le rispettive funzioni di business. Quindi, la preparazione al GDPR non è solo un progetto IT e nemmeno un’iniziativa che interessa esclusivamente i responsabili della privacy o della sicurezza: la collaborazione sarà un elemento cardine per l’adeguamento. Facciamo un esempio molto semplice: gli operatori di marketing dovranno lavorare fianco a fianco con gli uffici legali e i reparti IT per gestire con trasparenza i dati personali dei clienti e i team IT devono collaborare con l’ufficio legale per rivedere gli accordi nella supply chain, modificando i contratti laddove necessario.
- Team dirigente. Si tratta dei primi soggetti chiamati in causa, il loro supporto è fondamentale così come la nomina di un leader esecutivo per le attività di conformità. Il leader sarà dunque alla guida di un team di progetto dedicato che deve essere responsabile nei confronti del consiglio di amministrazione e ricevere istruzioni dall’alto. Se l’organizzazione aziendale è particolarmente articolata si potranno costituire anche più team GDPR, uno per ogni business unit, che faranno capo al leader.
- Ufficio legale. Non deve poi mancare il supporto di una figura legale che conosca a memoria il GDPR e sia pronta a fornire consulenza al resto dell’azienda durante l’intero processo preparatorio. Il legale o team legale sarà poi coinvolto nelle attività pratiche di compliance, per esempio nella revisione degli accordi legali con terze parti, soprattutto se l’azienda ha relazioni titolare-responsabile del trattamento.
- IT e sviluppo software. Il contributo del reparto IT è fondamentale per il successo dell’implementazione del GDPR: i team IT sono incaricati, per esempio, dei controlli di accesso ai dati personali e di “assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”.
- Gestione dei prodotti. Si tratta dei proprietari dei prodotti che vengono impiegati per la raccolta dei dati, ossia i software. Le funzionalità dei loro programmi devono essere bilanciate con requisiti come la sicurezza e la privacy. Il personale addetto alla gestione dei prodotti diventa sempre più rilevante quando la conformità al GDPR viene proiettata su una prospettiva a lungo termine.
- Il GDPR porta con sé molti cambiamenti che riguardano le attività di marketing delle organizzazioni, soprattutto nel campo del marketing digitale. Sarà necessario rivedere e aggiornare le informative sulla privacy dei siti Web. Le aziende devono anche fare in modo che la gestione dei consensi sia adeguata e funzionante in tutti i mercati. Per quanto riguarda l’automazione del marketing e il CRM, le organizzazioni devono assicurarsi che i fornitori di strumenti e servizi siano conformi al GDPR e abbiano i diritti di utilizzo dei dati. Per ottenere tutto questo, le aziende devono formare i dipendenti e sensibilizzarli circa le implicazioni che il GDPR avrà sulle loro attività, soprattutto nel caso delle organizzazioni con team di marketing globali.
- Sicurezza informatica. Il responsabile della sicurezza IT ha chiaramente uno dei ruoli più importanti nella preparazione in vista del GDPR. Il Chief Information Security Officer (CISO) è il decision maker di massimo livello per la cyber security e ha una funzione cardine nella protezione dell’azienda dagli attacchi che comportano perdite di dati. Il CISO e l’intero team di Information Security dovrebbero essere coinvolti profondamente nella definizione dei piani GDPR, data la loro centralità in alcune delle modifiche normative in materia di violazione dei dati e privacy dei dati.
In questo quadro, piuttosto ricco, è lecito attendersi che una piccola media impresa non disponga al suo interno di personale qualificato in tutti i settori chiamati in causa per essere conformi al GDPR. A seconda di quale sia la mission dell’azienda, essa può non disporre di comparto legale o IT direttamente al proprio interno e pertanto dovrà demandare il soddisfacimento degli adempimenti richiesti a consulenze esterne. Non meravigliatevi dunque di dover optare per i servizi offerti da professionisti esterni, meglio ancora se si tratta di team specificatamente creati per raggiungere la conformità richiesta.
To be continued…
Sara Avanzi