Domanda ricorrente: quanto costa l’adeguamento al GDPR?
Ovviamente è impossibile rispondere in modo serio a questa domanda; vorrei però fare alcune considerazioni.
Successivamente al mese di aprile 2012 (leggere qui) moltissimi hanno ritenuto che tutto il decreto legislativo 196/03 fosse stato abrogato; in molte aziende gli adempimenti sono stati abbandonati. Adesso, in pratica, occorre ripartire da zero.
Abbiamo quindi disponibili prevalentemente indicazioni che provengono da oltre confine; in Austria e Germania si valuta in livello di compliance delle organizzazioni di oltre il 70%, ma non è corretto paragonare il loro tessuto economico al nostro.
Dai vari convegni nazionali, emerge che, per una media organizzazione, un investimento corretto potrebbe essere quantificabile nel 2% del fatturato, ovviamente nel primo periodo. Successivamente tale onere calerebbe.
Per le organizzazioni più piccole, che non devono nominare il DPO, con pochi trattamenti e strumenti, ritengo che gli adeguamenti si possano realizzare con budget inferiori, anche significativamente inferiori all’1% del fatturato.
Ovviamente rimane sempre funzione della tipologia del business, della quantità e tipologia dei dati personali, oltre che dalla stuttura aziendale.
Si consideri che gli adeguamenti correlati all’adeguamento GDPR non sono un costo fine a se stesso; quando si governano i processi di trattamento e si proteggono i dati, si va a migliorare la resilienza della intera organizzazione ai rischi aziendali.