Tempo di lettura stimato: 5'
In un articolo precedente ho parlato di come sta cambiando il rapporto delle aziende con il GDPR e come, spesso, siano proprio alcuni consulenti – non tutti ovviamente - a trattare la privacy con l’approccio sbagliato: come se fosse un adempimento formale e soprattutto “cartaceo”. Bene. Oggi tratto un argomento strettamente legato a questo: il Privacy Management System.
Ne ho parlato con Maurizio Bulgarini, cofondatore e managing partner di Smart Flow, società torinese di consulenza direzionale, in una live che trovi su Raise Academy, dal titolo: “Perché la tua azienda ha disperatamente bisogno di un Privacy Management System (e perché i tuoi consulenti non te ne hanno ancora proposto uno)”. Questo articolo nasce proprio dalla nostra conversazione.
Cos’è il Privacy Management System?
È un sistema che permette a un’organizzazione di gestire tutte le attività relative al trattamento dei dati personali.
Bene. Secondo me, te lo dico subito, un’azienda dovrebbe avere un sistema per la gestione della privacy, per una questione di buon senso.
È una questione di buon senso perché non siamo più nel 2003, quando avevamo 5 trattamenti da gestire. Oggi gli adempimenti relativi alla privacy sono molti ed è tutto più complesso.
Ma c’è un problema, non tanto nelle aziende, quanto tra alcuni consulenti, che non propongono di default i Privacy Management System ai loro clienti. Mi sono chiesto spesso il perché. E la risposta che mi sono dato è questa: perché alcuni di loro hanno paura che un sistema di gestione li faccia guadagnare meno o faccia percepire meno la loro professionalità.
Il sistema di gestione della privacy non è molto diverso dal sistema di gestione della contabilità
Ancora molti consulenti privacy trasversali - dal legale al consulente ISO - ritengono che un sistema di management tolga qualcosa alla loro professionalità. E così usano i fogli di Excel, che va benissimo come strumento per le attività più semplici, intendiamoci, ma per gestire la complessità non è adatto.
È come un foglio di carta su cui scrivo con la tastiera e non con la biro.
Quando c’è complessità serve un sistema.
In più, ragionare così, è un po' come dire: faccio bene il commercialista perché uso i fogli di Excel e ci metto l’intelligenza, per il solo fatto di scrivere a mano. Ma cosa succede se il commercialista utilizza uno strumento non perfettamente adeguato a gestire la mia contabilità? Può anche essere cintura nera dell'approccio fiscale, ma lo strumento determinerà il suo grado di efficienza.
Perché compilare a mano significa, inevitabilmente, più errori umani e più tempo da dedicare a un lavoro di data entry.
Giusto?
Bene.
Infatti, come clienti, non andremmo mai da un commercialista che ci fa la contabilità compilando a mano un foglio di Excel. Nessuno di noi, oggi. Forse Peppino il panettiere… ma neanche lui ormai, nel 2024, sceglie il commercialista che scrive a mano.
Perché un commercialista deve usare un sistema di gestione che gli permetta di:
1) concentrarsi sulle problematiche dell'azienda mettendoci la sua capacità, il suo know how e la sua competenza in maniera corretta,
2) efficientare la sua attività,
3) eliminare i tempi, le inefficienze, gli errori che possono esserci usando strumenti elettronici, come Excel.
E allora, se prendiamo per assunto che il commercialista debba, come minimo, usare un sistema di gestione, prendiamo buono il fatto che avere uno strumento di gestione del trattamento di dati personali debba essere il minimo sindacale anche per un consulente privacy.
Il requisito minimo per fare bene il consulente, per fare bene il DPO.
Un consulente può essere bravissimo, ma senza un sistema di gestione è sicuramente inefficiente
La scelta dello strumento Excel è un classico errore di forma e sostanza. È vero che esistono degli strumenti di gestione e controllo che bloccano la capacità del consulente di costruire un modello privacy su misura del cliente. Ma non sono tutti così. E non avere uno strumento di gestione, oggi, vuol dire che il consulente che ti segue può essere efficace e bravissimo, ma sicuramente non è efficiente, perché il rischio di errori è alto.
Senza contare che la sua capacità di interazione col cliente, spesso e volentieri, finisce per limitarsi a uno scambio così:
Cliente: "Aiuto! C’è un problema. Alzo la paletta, dammi una mano”
Consulente: “Mandami i fogli di Excel che ci guardiamo…”
Il cliente manda i fogli e poi diventa tutto un problema di organizzazione, di comunicazione, di mantenimento, di aggiornamento...
Nel 2003 poteva andare bene. C’erano 5 trattamenti in croce da gestire.
Ma nel 2024, il trattamento dei dati personali - vedi solo il lato marketing e GDPR – è un’altra cosa: non è tanto complicata quanto piuttosto caratterizzata da una serie di interazioni che devono essere tenute sotto controllo.
E per tenerle sotto controllo - una volta che io consulente ho deciso le strategie e quant'altro – l’unico modo è usare uno strumento di gestione.
Un Excel, un foglio di Word e 2 mail non possono sostituire in maniera efficiente un percorso che devo tenere sotto controllo, di cui devo poter dare evidenza all'Autorità garante e ai miei interessati, nel momento in cui tratto i loro dati personali.
E questo per me è fondamentale: la possibilità e la capacità di uno strumento di gestione di efficientare la qualità del consulente.
Sceglieresti mai un commercialista che fa tutto a mano con l’Excel? No.
E allora perché un'azienda dovrebbe scegliere un consulente privacy che non propone uno strumento di gestione? E perché dovrebbe pagarlo per scrivere a mano o per battere sulla tastiera una serie di cose sempre uguali e senza nessun valore aggiunto?
Monkey job VS consulenza
Perché un’azienda dovrebbe pagare un consulente per il monkey job?
Cos’è il monkey job?
Te lo spiego in una riga: dici alla scimmia “Copia questo!” E lei copia.
Il tempo che si impiega a gestire le cose così ha un costo sproporzionato, perché è un lavoro che potrebbe fare una scimmia. Fa perdere efficientamento, controllo e poi stiamo parlando di roba da scimmia: pigiare sui tasti. Per non citare il fatto che, al quinto copia incolla, perdersi dei refusi è un niente…
Perché impiegare del tempo buono per fare - potenzialmente - degli errori?
Questo è solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.