Gestione degli eventi aziendali: il consulente e il DPO vanno chiamati subito, non a cose fatte

20 ottobre 2021Ultimo aggiornamento 29 novembre 2021
  • Home
  • Blog
  • NOVITÀ
  • Gestione degli eventi aziendali: il consulente e il DPO vanno chiamati subito, non a cose fatte
Tempo di lettura stimato: 8'
Qualche tempo fa abbiamo pubblicato un articolo sulla gestione degli eventi a norma GDPR, tratto da un LIVE di Raise Academy in cui ho parlato di procedure e linee guida da adottare con due grandi professioniste: l’Avvocato Francesca Bassa e Monica Perego, che si occupa, da più di 30 anni, di consulenza aziendale in ambito compliance con particolare attenzione all’integrazione tra i sistemi. 
Lo hai già letto? Bene.
Non lo hai ancora fatto? 
Corri a dare un’occhiata, poi torna subito qui.

Ci eravamo lasciati con una domanda, te la copio e incollo qui sotto, così non devi andartela a cercare: 
“Noi consulenti abbiamo un problema. Se il cliente non ci dice prima che sta per fare un evento, abbiamo difficoltà ad intervenire e ad aiutarlo a gestire la situazione a norma GDPR. Come facciamo a obbligare i Direttori Marketing, i Responsabili della comunicazione, l’Amministratore Delegato a farci contattare preventivamente? Esiste un modo per procedurizzare questa cosa? Se sì, come fare?” 

Riprendiamo l’intervista a Francesca Bassa e a Monica Perego. Ma ricorda che quello che trovi in questo articolo è solo un estratto, il resto è sulla Raise!


Quando il cliente ti chiama per sapere se può riprendere gli invitati all’evento con un drone…

Andrea Chiozzi: C’è l’evento – online, offline, online e offline… è uguale! - se l’azienda è ISO 9000 e non ci contatta prima di organizzare l’evento, ma lo fa a cose fatte, per noi consulenti (e per il cliente) diventa un problema. Monica e Francesca, secondo voi, riusciamo a infilare una procedura in cui diciamo che, se non mi contatti, caro titolare, ti taglio una falange? (Ovviamente sto scherzando… però il senso è: chiamami prima di fare la frittata, quando hai ancora l’uovo intero, non quando lo hai messo in padella!).

Monica Perego: Dimenticherei l’ISO 9000, che è uno strumento che può aiutare, ma diciamo che è dentro l'accountability la necessità della procedura e di contattare il consulente per tempo. Immaginiamoci l'evoluzione. L'azienda comincia a fare degli eventi, all'inizio chiama il consulente quando ha già fatto tutto e poi ha il dubbio, per esempio, se si possono scattare le foto col drone…  Dopo 3 o 4 volte che gli eventi si ripetono e tu, come consulente, capisci che la rincorsa a rispondere alla domanda è una misura inadeguata e la risposta nasce perché c'è stata la domanda - perché se non ci fosse stato il drone manco ti avrebbero chiamato… - allora inizi a proporre una procedura/linea guida. Però hai bisogno di una certa potenza di fuoco per poterlo fare, non di un evento all'anno e devi andare a mettere dei capisaldi.

Come fai a fare in modo che ti chiamino dove serve e quando serve? 
Ricordiamoci che una procedura/linea guida ben fatta copre il 70-80% dei casi possibili, mica può contemplare il 100% dei casi possibili, perché nessuno li conosce!
A te interessa che, regolamentato l’80% dei casi, ti chiamino per il 20% di quelli non coperti dalla procedura/linea guida

Dove nasce la ragionevole garanzia che ti chiamino? Nasce dal fatto che, avendo elaborato un modello con loro, hai lavorato anche sulla loro consapevolezza e hai tolto loro una serie di problemi. 

Perché non puoi fare una procedura che aggiunge dei problemi, devi fare una procedura che ne toglie e che li fa riflettere su un altro aspetto e su questo faccio un esempio che secondo me chiarisce quello che voglio dire. 


Un esempio per capire cosa significa rendere consapevole il titolare del trattamento nella gestione degli eventi

Monica Perego: Al cliente dico: “Se tu non vedi bene i vari pezzettini della tua catena, rischi di fare degli errori che possono anche compromettere il tuo business.” 
Ho un cliente che produce e vende prodotti per la cura del corpo di fascia alta. Qualche anno fa ha deciso, a inizio anno, che a tutti i distributori che a fine anno avessero superato un certo fatturato, avrebbe regalato vari premi, tra cui anche un viaggio per il distributore vincente e per la sua famiglia. A tutti gli effetti era un evento. Di procedure all’epoca non ce n’era nessuna.  

A un mese dal viaggio mi chiamano per avvisarmi della cosa ed ecco cosa ci siamo detti: 

Cliente: “Monica, l’operatore turistico che gestisce il viaggio, vuole la registrazione dei dati. Lo può fare?”
Io: “Sì, può farlo. L’operatore sarà titolare autonomo del trattamento.”
Cliente: “Benissimo”
Io: “Aspetta. Guarda che poi, in quanto titolare autonomo, l’operatore turistico chiederà il consenso per inviare materiali di marketing e per inviare dati a terzi… 
E il cliente: “Sì, sì, va bene.” 
E io: “Guarda che gli stiamo regalando il database dei vostri distributori, che fanno un certo fatturato. Vi va bene fare questa cosa?”
Il cliente: “Ah no, questo non lo avevamo pensato, questo non ci va bene. Vuoi dire che loro possono prendere questo database e venderlo
Monica: “Eh sì, certo. Possono prenderlo e venderlo. Lo possono fare con chi gli ha dato il consenso.”
Il cliente: “Ah no, assolutamente no. A questo non ci avevamo pensato.”

Questo esempio ci fa vedere che il cliente chiama per una banalità, ma poi lo fai riflettere. In questo caso stavano regalando un database a qualcuno che di lavoro non ha a che fare con i distributori di prodotti per la cura del corpo, ma che potrebbe rivenderlo.
Si sono spaventati ed è questo che dobbiamo portarci a casa. Dobbiamo portarci a casa qualche caso in cui li spaventi e gli fai capire che:
  • la procedura/linea guida regolamenta per l’80%;
  • devono alzare la mano e chiedere nel 20% degli altri casi; 
  • la ricchezza legata alla variabilità della situazione potrebbe essere molto più ampia di quello che a prima vista non potrebbe sembrare. 

Quindi, un po’ di bastone e carota. 

Col cliente, un po’ di bastone e un po’ di carota

Andrea Chiozzi: Un po' di bastone e un po’ di carota, giustamente. Faccio outing: io trovo veramente faticoso dare delle procedure, se non legate a un bonus aziendale. Ho trovato in alcune aziende, soprattutto PA e partecipate, la grande utilità di spalleggiarmi con l'HR dicendo: “Una parte del tuo bonus di fine anno cara partecipata, cara PA, è legata al numero di volte in cui sei andata a interloquire col DPO/consulente o se ti sei scordata di interloquire a seconda di certe attività.” Mettendola sul bonus, tutti interloquiscono alla velocità della luce!
Francesca, tu riesci a farti ascoltare dai tuoi clienti, a “procedurizzarli” (tra virgolette) o a trovare dei modi intelligenti o furbi – intelligenti poco importa, meglio che siano furbi! – per motivarli a contattarti? 
Avvocato Bassa: Nella mia esperienza, soprattutto negli ultimi tempi e soprattutto con aziende un po’ più strutturate, siamo riusciti a mettere in atto delle regole, anche tacite, se vogliamo. Perché, lavorando insieme, a stretto contatto e testandoci a vicenda, si sono resi conto che, ogniqualvolta utilizzano un social o uno strumento digitale e c’è un dato personale – e le attività di marketing hanno intrinseco il dato personale - c’è il discorso della privacy e dalla privacy non si può prescindere. 

Istruire e dare delle regole

Avvocato Bassa: Quando mi approccio ai miei clienti, chiarisco sempre che è importante definire delle social media policy. Nella maggior parte dei casi, sono entrata in aziende dove l'ex dipendente aveva ancora in mano le credenziali della pagina Facebook dell'azienda oppure non si trovavano le credenziali di WordPress o era stata fatta la migrazione di un sito internet a un altro, chiudendo il vecchio WordPress. Situazioni in cui si capiva che non c'era la sensibilità nel discorso della privacy.

In questi casi ci si rende conto che è importante istruirli. Il primo passo è la formazione, che non deve essere per forza "ti faccio una lezione", ma significa che tu sei presente - sei in team - li ascolti, guardi come lavorano, cerchi di istruirli, senza invadenza, perché la privacy è carta per le aziende. La privacy è noiosa. Invece, il messaggio che cerco sempre di dare ai miei clienti è che “La privacy e i dati personali sono valore, sono il tuo pacchetto clienti futuro”.


I dati sono la nostra moneta, per cui è importante che si tutelino gli interessati ma, allo stesso tempo, la privacy è il nostro patrimonio informativo, è il nostro know-how. Nel momento in cui il marketing capisce che la privacy può generare valore, a quel punto iniziano a interessarsi e quindi a stringere accordi di cotitolarità, accordi di co-marketing, a chiedere il contratto al fornitore, al web hosting...


Gli aspetti importanti per gestire un evento a norma GDPR

Andrea Chiozzi: Quali sono, secondo voi, gli aspetti più critici nella gestione degli eventi. Quali sono gli aspetti GDPR e gli aspetti privacy che voi ritenete sia importate dare nell'immediato - passatemi il termine "stile checklist" - quando una struttura decide di gestire un evento?

Avvocato Bassa: Rispetto al marketing e al discorso degli eventi è importante che si costruisca una buona informativa, che il consenso sia raccolto in modo corretto, che gli strumenti social siano strumenti con cui abbiamo concluso un contratto, abbiamo una licenza e nello stesso tempo le criticità maggiori riguardano sicuramente il periodo di conservazione. Perché il marketing vorrebbe tenere i dati in maniera illimitata. Quindi è importante trovare un criterio per tenere i dati il più possibile in conformità con il GDPR.

Un altro aspetto critico è che la maggior parte dei siti e delle pagine aziendali non sono costruite privacy-by-design. Non si conoscono i contratti che concludiamo per esempio con Facebook, Instagram e altri social come TikTok. Perché non ci sono impatti solo privacy, ma ci sono anche impatti diversi. Io lavoro molto nel settore del food e del beverage. Qui, ad esempio, una cantina vitivinicola non può aprire una pagina TikTok, perché il vino è bannato da TikTok. Quindi, prima di fare degli investimenti sui social, è importante capire se quel social è adatto alla nostra attività


Noi come consulenti ci occupiamo di dati e visto che i social hanno come core business i dati, non possiamo non conoscerli. Dobbiamo avere una conoscenza approfondita delle campagne di advertising e di quelli che sono i contratti che stipuliamo con i social. 


Questo era solo un assaggio!

La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

PARTNER BD LEGAL - STUDIO LEGALE

Studi:
Laurea in Legge presso l’Università Bocconi, Business Law specializzazione in diritto internet, Milano. Tesi: “La tutela della privacy e tecniche di pubblicità online”.
Master Universitario di II livello in “Sicurezza delle informazioni e Informazione strategica” (SIIS) presso l’Università La Sapienza (dipartimento di ingegneria informatica) conseguito con borsa di studio della Presidenza del Consiglio. Tesi: “Il funzionamento e la privacy nei CERTs italiani ed esteri”.
Master Federprivacy in “Privacy Officer e Consulente della privacy”, Roma.
Lawful Interception Academy presso la Scuola di Polizia Tributaria, Roma.

Attività Professionale:
Francesca è Avvocato e Partner dello Studio bd LEGAL di Milano, esperienza ultra decennale in diritto delle tecnologie, in particolar modo per quanto riguarda la compliance della protezione dei dati personali, opera in questo settore fin dal conseguimento della laurea.
Si occupa di assistenza stragiudiziale. Ha iniziato il suo percorso professionale lavorando prima in Telecom Italia a Roma, presso il dipartimento Antitrust e poi nel team legale di Google a Milano, dove si è occupata prevalentemente di diritto all’oblio e di rimozioni online. Durante gli anni a Roma, ha collaborato con il Ministero dello Sviluppo Economico nell’ambito della cybersecurity (presso l’ISCOM – CERT nazionale) e su progetti di educazione digitale. A Milano ha lavorato presso una prestigiosa società di consulenza legale.

Assiste primarie società italiane di stampo internazionale su tutto il territorio nazionale, coordinando progetti di compliance GDPR e di adeguamento normativo, offrendo assistenza anche come DPO esterno.

È membro della Comunità SIIS dell’ Università La Sapienza. È Delegato dell’Associazione di Federprivacy e membro del network “Idraulici della Privacy”. È Privacy Officer e Consulente della Privacy certificato TUV Italia con licenza cdp_240 dal 2015. Ha vissuto e studiato in Canada.

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy