Tra gli addetti ai lavori, ha preso campo il concetto di “vestito su misura” oppure “abito sartoriale”, riferito ai processi di adeguamento di ogni diversa organizzazione.
Trascurando poche realtà, ogni organizzazione ha caratteristiche che necessitano di soluzioni “ad hoc” per l’adeguamento al GDPR; anche il corso di formazione deve essere specifico, centrato sui loro trattamenti e sui relativi processi e flussi di dati, nonchè sui rischi incombenti e sulle buone prassi operative da adottare.
Stamani ho visto gli “artefatti” generati da un software che consentirebbe (a dire del produttore) di adeguarsi ai requisiti del GDPR;
ebbene, dei documenti che ho visionato:
- registro dei trattamenti;
- informative ai clienti;
- informative ai fornitori;
- informative ai dipendenti;
- lettere di nomina responsabile esterno;
- lettere di incarico agli incaricati – soggetti designati dal titolare;
nessuno di questi aveva le necessarie caratteristiche richieste dal Regolamento, con la “chicca” che il registro dei trattamenti mancava di campi obbligatori mentre aveva campi assolutamente inutili (se non controproducenti).
Quindi, in ambiti di media complessità (che purtroppo riscontro anche in micro imprese “pesantemente” informatizzate), diffidate non solo delle soluzioni “pret-a-porter”, ma anche dei pacchetti di consulenza offerti dalle associazioni di categoria ad un prezzo stracciato.
Spesso chi vi predispone i documenti non ha ben chiaro cosa vi stia scritto; oggi anche una inidonea informativa è sanzionata con importi astronomici.
E del fatto che oggi, in vigenza del GDPR, la dataprotection non si realizzi stampando qualche documento, avevo mai scritto?