Cosa fa un consulente GDPR (e perché finora l’hai vissuto come una scartoffia in più)
Prima di mettere in discussione qualcosa, mettiamo le cose in chiaro: una consulenza GDPR fatta bene è un lavoro vero, e affidarsi a chi lo fa di mestiere è giusto. I consulenti GDPR — e l’avvocato che lavora con loro — non sono il nemico, mai. Fanno una cosa precisa e necessaria, e te la fanno meglio di come la faresti tu.
Tradotto da imprenditore a imprenditore, il consulente privacy GDPR mette mano a poche cose concrete. Ti scrive l’informativa, cioè il documento che dichiara quali dati raccogli, perché, a chi li passi e per quanto li tieni. Ti imposta il registro dei trattamenti, cioè l’elenco ordinato di tutto quello che la tua azienda fa con i dati delle persone. Fa le nomine, cioè mette per iscritto chi è autorizzato a trattare cosa, dentro e fuori l’azienda. E ti dice quando un trattamento è abbastanza rischioso da richiedere una valutazione d’impatto, quel passo in più che serve solo in certi casi. È esattamente cosa chiede il GDPR a un’azienda: non una carta bella, ma un ordine dichiarato e mantenuto.
Fin qui è tutto sano. Una consulenza privacy GDPR seria traduce la tua situazione nel linguaggio del diritto, ti copre le spalle e ti dà i documenti giusti. Il consulente fa il suo mestiere, e lo fa bene.
Questo è il punto da cui partiamo: la consulenza serve, ed è giusto averla. Il punto non è se ti affidi a un consulente GDPR. È un altro, ed è il motivo per cui sei finito su questa pagina: l’ordine che il consulente scrive sulla carta esiste davvero, sotto, dove vivono i tuoi dati?
Il consulente scrive come dovrebbero stare i dati: tu devi poterlo fare davvero
Cominciamo dalla parte che quasi nessuno ti spiega. Quando un consulente GDPR finisce il suo lavoro, ti consegna una fotografia di come dovrebbe funzionare la tua azienda dietro le quinte: i dati di qui, trattati per questi motivi, conservati per questo tempo, visti solo da chi è autorizzato. È una descrizione di un ordine. E quella descrizione è corretta, perché il consulente sa fare il suo mestiere.
Ed è qui che casca l’asino. Una descrizione vale solo se la realtà le corrisponde. Il consulente ti scrive un’informativa che dichiara dove stanno i dati e chi vi accede, ma può scrivere solo su quello che gli racconti — e tu gli racconti l’azienda che hai in testa, non quella che hai sui server, sui laptop e nelle chat. Se nei fatti gli stessi clienti vivono nel gestionale, nel CRM, in un Excel sul portatile del commerciale, nella casella email e in una conversazione di WhatsApp, allora la consulenza descrive un ordine che, sotto, non esiste ancora.
Il problema pratico è che molti pensano che pagare la consulenza chiuda la questione. Si firma il preventivo, arrivano i documenti, si archiviano in una cartella e si tira un respiro di sollievo. Ma i documenti descrivono come dovrebbero stare i dati: il giorno in cui un cliente chiede “fatemi vedere cosa avete di mio e cancellate tutto”, la carta dice una cosa e il backend ne fa un’altra.
Non hai un problema con il consulente. Hai un problema con un ordine scritto bene sopra una realtà disordinata: la carta dice che i dati stanno in un posto, mentre vivono in cinque.
E qui c’è una distinzione che ti toglie metà delle preoccupazioni, se la conosci. Un consulente bravo scrive una consulenza che corrisponde alla situazione che gli racconti. Ma il suo mestiere è descrivere l’ordine giusto, non andare lui a spostare i dati da un programma all’altro. Quello è un altro lavoro, ed è operativo, non legale. Non è un limite del consulente: è che il diritto descrive, non sistema. Il diritto è il loro campo, e lo presidiano bene. Far vivere davvero i dati dove la consulenza dice che stanno è un mestiere diverso, e va fatto da chi lo fa.
Ma “i dati sono sparsi” sembra un dettaglio tecnico, di quelli che si sistemano dopo. Non lo è. È esattamente la cosa che rende vuota la tua consulenza, anche quando l’ha fatta il miglior consulente sulla piazza. Vediamo perché.
Lo stesso cliente vive in cinque posti, e nessuna consulenza lo sposta
Mettiamo che tu abbia una consulenza GDPR fatta su misura: informativa scritta bene, registro impostato, nomine in ordine, valutazione d’impatto dove serviva. Resta il fatto che i dati che quei documenti descrivono non stanno fermi in un posto solo: vivono sparsi sui programmi che la tua azienda ha comprato in dieci anni. Ed è qui che nasce il guaio vero, quello operativo, di cui il registro dei trattamenti è solo lo specchio sulla carta.
Pensa a cosa succede dietro le quinte dopo un singolo contatto. La persona compila un form sul sito. Il suo nome entra nel gestionale. La sua email finisce nel tool con cui mandi la newsletter. Il commerciale se la salva nel suo Excel, sul suo portatile. Lo storico delle conversazioni vive nella casella di posta. E qualche scambio è rimasto su WhatsApp. Lo stesso cliente, dopo un solo passaggio, vive in cinque posti diversi — ed è la definizione di un Frankenstein operativo: cinque pezzi cuciti insieme, ognuno con la sua copia di un dato che non torna mai uguale, nessuno che parla con gli altri.
Il risultato lo conosci anche se non l’hai mai chiamato così. Un cliente ti chiede di cancellare i suoi dati, come la consulenza ti ha messo per iscritto che poteva fare, e tu non sai nemmeno in quanti posti li hai. Apri il gestionale, poi il CRM, poi l’email, poi cerchi il foglio del commerciale che però è sul suo computer, poi WhatsApp. Cancelli da una parte, resta acceso da un’altra. Il registro dice “questi dati li trattiamo così e li vede solo questa persona”, e nei fatti quel controllo lo eserciti a metà, sperando di aver guardato dappertutto.
E c’è il lato proprietà, che è il più scomodo. Nessuno di quei cinque posti è davvero tuo. Il database dei tuoi clienti — la cosa più preziosa che l’azienda produce — vive in affitto su pannelli di altri, a cui accedi finché paghi l’abbonamento e finché quel servizio esiste. La consulenza descrive un controllo su dati che, in realtà, controlli a metà. E questo il consulente non può sistemarlo: non è il suo mestiere, e non è nemmeno un problema legale. È un problema operativo.
Il modo più rapido per dirlo: una consulenza diventa vera non quando è scritta meglio, ma quando descrive un posto solo dove i dati vivono davvero. Lo si ottiene facendo confluire i dati di tutti i contatti in un posto unico dove ogni cliente vive una volta sola — un database tuo, sotto il tuo controllo, con un registro di chi accede a cosa, da cui gli altri strumenti pescano invece di tenere ciascuno la sua copia scollegata. Solo allora l’ordine che il consulente ha scritto torna a corrispondere alla realtà.
Cosa descrive la consulenza, e cosa fa davvero il backend sotto
| Consulenza sopra i dati sparsi | Consulenza sopra un database tuo | |
|---|---|---|
| I dati che il registro descrive | Stanno in cinque posti, mai allineati | Stanno in un posto solo, da cui gli altri pescano |
| ”Chi è autorizzato” | Scritto nelle nomine, in pratica chiunque apra un file | Registrato davvero: si sa chi ha visto cosa |
| Diritto di cancellazione | Caccia al tesoro su ogni programma | Un’azione sola, su un dato solo |
| Destinatari (chi li riceve) | Difficile dire a chi sono finiti davvero | Tracciati: passaggi noti e registrati |
| Valutazione d’impatto | Fatta sulla carta, su dati che non sai dove sono | Fatta su trattamenti reali, in un punto solo |
| Di chi è il database | In affitto sui pannelli, finché paghi | Tuo, esportabile, sotto il tuo controllo |
| Cosa hai in mano | Documenti che il backend smentisce | Carte che descrivono un ordine che esiste |
Letta così, sparisce la domanda sbagliata (“la mia consulenza è fatta bene sì o no?”) e resta quella giusta: l’ordine che il consulente ha messo nei documenti corrisponde a dove vivono davvero i dati dei miei clienti, o ho carte perfette appoggiate su un disordine che le rende vuote?
Prima di chiamare un consulente o rifare i documenti, scopri a che punto sei davvero: il voto GDPR della tua azienda in pochi minuti, gratis e senza carta di credito.
Una consulenza che descrive un ordine inesistente ti dà la falsa sensazione di essere a posto
La consulenza GDPR serve, e serve davvero. Serve per dichiarare correttamente le finalità, per impostare il registro, per fare le nomine giuste, per condurre la valutazione d’impatto sui trattamenti più rischiosi — quel passo in più che solo chi conosce la norma sa quando va fatto. Niente di tutto questo lo improvvisi da solo. Il punto non è evitarla: è capire dove arriva il suo lavoro e dove ne comincia un altro.
Dal lato della tranquillità: paghi la consulenza e pensi di essere coperto perché hai i documenti. È la sensazione più pericolosa, perché ti fa smettere di guardare il problema. I documenti archiviati ti dicono “sono a norma”, mentre sotto i dati continuano a colare dai buchi tra un programma e l’altro. Il consulente ha fatto il suo lavoro bene — ti ha dato acqua pulita — ma può solo descrivere l’ordine giusto, non andare a vedere dove finiscono davvero i dati e spostarli in un posto solo.
Dal lato del rischio concreto: il giorno in cui qualcuno guarda — un cliente che chiede “cosa avete di mio e a chi l’avete dato”, una verifica — la distanza tra quello che le carte descrivono e quello che il backend fa diventa visibile. E lì non ti difende l’aver pagato una bella consulenza: ti difende il poter mostrare dove stanno i dati, chi li ha toccati, quando li cancelli. Una piscina bucata resta bucata anche con il cartello “acqua pulita” sul bordo. Il rischio non è teorico: è il momento in cui devi dimostrare nei fatti l’ordine che il consulente ha scritto.
Qui la consulenza smette di essere un argomento da addetti ai lavori e diventa un pezzo del tuo backend operativo. Il principio è lo stesso che applico ovunque: il dato vive in un posto solo, tuo, con un registro di chi accede. Una PMI con la consulenza che dice la verità è una PMI dove i dati stanno dove i documenti dicono che stanno — e ci si arriva mettendo ordine sotto, non comprando una consulenza più costosa. È esattamente il percorso della guida all’adeguamento e al registro dei trattamenti: si parte dal capire quali dati raccogli, dove vivono e con quale base, e si costruisce il registro che la consulenza descrive. Non carte migliori: un sottosuolo dove le carte diventano vere.
La domanda non è “la mia consulenza è fatta bene”. È: l’ordine che il consulente ha scritto lo posso mantenere davvero, oggi, o i dati sono ancora sparsi su cinque pannelli che non sono miei?
Cinque domande oneste sui dati che la tua consulenza descrive
Non serve una consulenza da migliaia di euro per capire se i documenti che hai descrivono un ordine che esiste o uno che hai solo pagato. Bastano cinque domande.
- Il tuo registro dice “questi dati li vede solo chi è autorizzato”: sai dire, di getto, chi nella tua azienda può davvero aprire i dati di un cliente, o di fatto li vede chiunque abbia il file?
- Le nomine elencano chi tratta cosa: corrisponde davvero a tutte le persone e i posti a cui quei dati finiscono, o ne dimentica qualcuno?
- Se un cliente domani esercita il diritto di cancellazione che la tua informativa gli promette, lo puoi fare in tutti i posti dove i suoi dati vivono, o ne resterebbe qualche copia accesa?
- La consulenza che hai pagato è stata scritta sulla tua situazione reale, o su quella che hai raccontato al consulente senza guardare dove stanno davvero i dati?
- I dati dei tuoi clienti stanno in un posto solo che è tuo, o sono sparsi tra gestionale, CRM, email, fogli Excel e chat — mentre le carte descrivono ordine?
Se a queste domande hai risposto con un sospiro, non sei nei guai: sei nella situazione di quasi tutte le PMI italiane, che hanno una consulenza a posto sulla carta e un backend disordinato sotto. La differenza la fa misurare con precisione dov’è la distanza tra le carte e la realtà, invece di tirare a indovinare. E questo lo puoi fare adesso, da solo, in pochi minuti.
GDPR Quick Audit · il voto di conformità del tuo sito
Rispondi a poche domande sulla tua azienda — cosa descrivono i tuoi documenti, dove tieni davvero i dati dei clienti, chi vi accede, come gestisci i diritti — e in pochi minuti hai un voto chiaro su quanto le tue carte corrispondono alla realtà e dove sei scoperto. Niente gergo da avvocato, solo dove intervenire per primo.
Inserisci i dati e parti. Senza carta di credito. Il risultato lo salvi nella tua Officina con la sola email, se vuoi tenertelo.
Il voto è il punto di partenza. Dice quanta distanza c’è oggi tra le carte e i dati; cosa farne, lo decidi tu.
Le domande che ti stai facendo adesso
Cosa fa concretamente un consulente GDPR?
Mette mano a poche cose precise: ti scrive l’informativa, imposta il registro dei trattamenti, fa le nomine di chi è autorizzato a trattare i dati e ti dice quando un trattamento è abbastanza rischioso da richiedere una valutazione d’impatto. È un mestiere vero e serio, e affidarsi a chi lo fa di professione è giusto. Quello che il consulente non fa — perché non è il suo lavoro — è spostare i tuoi dati da un programma all’altro per farli vivere in un posto solo. Quello è un problema operativo, non legale.
Quando serve davvero una consulenza GDPR a una PMI?
Serve appena tratti dati di persone in modo non banale: clienti, fornitori, dipendenti, contatti raccolti dal sito. Una consulenza ti dà i documenti giusti e la base giuridica corretta, cose che non improvvisi da solo. Ma la consulenza descrive un ordine: perché quell’ordine esista davvero, sotto, i dati delle persone devono vivere in un posto solo e governato. La consulenza serve per le carte; il backend ordinato serve perché le carte dicano il vero.
Qual è la differenza tra avere la consulenza ed essere davvero in regola?
La consulenza è la descrizione di dove dovrebbero vivere i dati e di come li tratti. Essere in regola significa che la descrizione assomiglia alla realtà. Puoi avere la consulenza più curata del mondo, ma se i dati dei clienti stanno in cinque posti che non si parlano, le carte descrivono un ordine che non esiste. Le carte le sistema il consulente; dove vivono i dati lo sistema un backend dove stanno in un posto solo, tuo, con un registro di chi accede. Sono due lavori diversi, e servono entrambi.
Il consulente GDPR può mettermi in ordine anche i dati sparsi tra i vari programmi?
Di norma no, e non perché non sia bravo: non è il suo mestiere e non è un problema legale. Il consulente descrive l’ordine corretto sulla carta — informativa, registro, nomine. Far confluire i dati che oggi vivono nel gestionale, nel CRM, nell’Excel del commerciale, nell’email e nelle chat dentro un posto solo è un lavoro operativo. Il consulente ti dice come dovrebbero stare i dati; qualcun altro li fa stare davvero così.
Se ho pagato la consulenza, perché dovrei preoccuparmi di dove stanno i dati?
Perché la consulenza è una descrizione, e una descrizione vale solo se la realtà la rispetta. Quando i documenti dichiarano “accesso limitato agli autorizzati” e “diritto di cancellazione”, ti impegni a fare quelle cose davvero. Se i dati sono sparsi tra gestionale, email, Excel e chat, non controlli chi vi accede e non riesci a cancellarli tutti: le carte dicono una cosa e il backend ne fa un’altra. Il giorno in cui qualcuno controlla o un cliente fa una richiesta, è quella distanza a metterti in difficoltà, non i documenti.
Da dove inizio, senza impegno?
Dagli strumenti diagnostici gratuiti: misuri quanto le tue carte corrispondono alla realtà — cosa descrivono, dove vivono i dati, chi vi accede — in pochi minuti, senza carta di credito e senza parlare con nessuno. Poi, se ha senso, ne parliamo.
Puoi continuare a tenere una bella consulenza appoggiata su dati sparsi in cinque posti che non sono tuoi. Oppure puoi sapere, con un numero, quanta distanza c’è tra quello che le carte descrivono e dove vivono davvero.
Smetti di affidarti a carte che descrivono un ordine che non esiste. Misura dove vivono davvero i tuoi dati.
La maggior parte degli imprenditori che mi scrive non ha un problema con il consulente. La consulenza ce l’ha, ed è anche fatta bene. Ha un problema con quello che c’è sotto: i dati di ogni cliente sparsi tra gestionale, CRM, Excel del commerciale, casella email e chat, mentre le carte descrivono un ordine che il backend non mantiene. La piscina è piena d’acqua pulita in cima e cola dai buchi sul fondo.
Chiamare un altro consulente o rifare i documenti non lo risolve, perché il buco non è nelle carte: è in dove finiscono a vivere i dati che le carte dichiarano. Lo risolve far confluire tutto in un posto solo che è tuo — un database unico, con un registro di chi accede a cosa — così che le finalità, i destinatari e i tempi di conservazione descritti diventino cose che puoi davvero mantenere. Poi il consulente scrive su un sistema in ordine, invece di descrivere un ordine che dovrai inseguire. E il giorno di una richiesta, di una verifica o di una violazione, sai esattamente dove sono i dati e chi li ha toccati, invece di scoprirlo all’ultimo. Si chiude mettendo i dati in ordine sotto le carte, non comprando carte nuove.
Non ti chiedo di firmare niente e non ti chiedo di credermi. Non sono un avvocato e non ti vendo la conformità garantita: l’interpretazione legale e i documenti li cura il consulente, che fa un mestiere vero. Io sigillo i buchi operativi sotto le carte: metto i dati in un posto solo, tuo, con un registro di chi li tocca, così che il lavoro del consulente diventi vero e l’ordine che ha scritto esista davvero. Ti chiedo solo di guardare il voto GDPR della tua azienda, gratis, in pochi minuti. Se quello che vedi ti suona familiare, andiamo avanti. Se non fa per te, chiudiamo qui senza rancore.
Il consulente ti descrive un ordine. Adesso scopri se quell’ordine esiste davvero, o se i dati colano ancora dai buchi!
Strumenti gratuiti. Senza carta di credito. Senza parlare con nessuno.
