Sono piccolo, lavoro da solo: mettiamo le cose in chiaro sul GDPR
Prima di metterlo in discussione, mettiamo le cose in chiaro: il GDPR è una norma sensata, e l’idea che difende è giusta. Il GDPR è il regolamento europeo che ti chiede di tenere in ordine i dati delle persone che si fidano di te. Non è roba pensata per le multinazionali e basta. Riguarda chiunque tratti dati di persone, e tu, anche se lavori da solo nel tuo studio o dal tavolo di cucina con una partita IVA e un portatile, tratti dati ogni giorno del mestiere.
Il malinteso che ti ha portato qui è uno solo, e lo sento ripetere da quasi tutti i professionisti che mi scrivono: “sono piccolo, il GDPR non mi riguarda”. È falso, e te lo dico subito per non farti perdere tempo. La dimensione non c’entra. Un consulente che lavora da solo, un commercialista con una segretaria part time, un architetto con due collaboratori, un geometra, un freelance del web sono tutti, agli occhi della legge, titolari del trattamento esattamente come una grande azienda. Cambia il volume dei dati, non l’obbligo di custodirli con criterio.
E la cosa che quasi nessuno sa è cosa significhi davvero “titolare del trattamento”. Tradotto da professionista a professionista: sei tu che decidi perché e come tratti i dati dei tuoi clienti, quindi sei tu il responsabile di come sono custoditi. Non puoi delegare quella responsabilità al gestionale che usi, alla casella email del fornitore, all’app di messaggi su cui chatti con i clienti. Quegli strumenti sono utili, ma la persona che risponde dei dati sei tu. Anche se sei una sola persona. Anzi: proprio perché sei una sola persona, di solito sei l’unico a sapere dove sono finiti quei dati, e quando non lo sai più, non c’è nessun ufficio a cui passare la palla.
E qui arriva la parte che fa cadere le braccia alla maggior parte dei professionisti: “ma io tratto quattro nomi, mica dati delicati”. Quasi sempre non è vero. Hai l’anagrafica completa dei clienti, codici fiscali, indirizzi, partite IVA, situazioni economiche, contratti, fatture. A seconda del mestiere tocchi dati ben più riservati: il commercialista vede redditi e patrimoni, il consulente del lavoro vede buste paga e a volte certificati di malattia, l’architetto e il geometra entrano dentro le case delle persone, chi lavora nel benessere o nella consulenza personale raccoglie informazioni che il cliente racconta solo a chi si fida. Non sono “quattro nomi”. Sono la vita privata e i conti delle persone che ti hanno scelto.
Fin qui è tutto ragionevole, e un professionista serio è il primo a volere che i dati di un suo cliente non finiscano in mano a chiunque. Questo è il punto da cui partiamo: il GDPR è giusto, e proteggere quei dati è sano, oltre che parte del tuo decoro professionale. Il punto non è se la norma ti riguardi. Ti riguarda, eccome. Il punto è un altro, ed è il motivo per cui sei finito su questa pagina: dove vivono oggi, fisicamente, i dati dei clienti che si sono affidati a te?
Da solo o quasi, sei tu il titolare: la responsabilità non si delega allo strumento
Cominciamo dalla parte che cambia tutto il discorso, e che vale doppio per chi lavora in piccolo. In una grande azienda la responsabilità sui dati è diffusa: c’è chi gestisce i sistemi, chi cura la privacy, chi tiene gli archivi. Da te, no. Da te tutto passa dalle tue mani, o dalle mani di una o due persone che lavorano con te. Questo ha un lato buono, sei vicino ai tuoi dati e li conosci, e un lato scomodo: se quei dati sono sparsi, l’unica mappa di dove sono finiti ce l’hai in testa tu, e la testa non è un archivio consultabile.
Il professionista singolo tiene tutto in tre posti, e li conosci a memoria. La casella email, dove arrivano e restano documenti, allegati, contratti, comunicazioni dei clienti. Il gestionale, dove tieni anagrafica, fatture e adempimenti del tuo settore. E le cartelle sul portatile, dove finisce il resto: i file scaricati dalla email, le copie dei documenti, i fogli che ti sei costruito negli anni. Aggiungi le chat dove i clienti ti scrivono “ti mando subito il documento”, la rubrica del telefono, qualche foglio Excel. Nessuno lo ha deciso a tavolino: è cresciuto così, un pezzo alla volta, come cresce qualsiasi attività che parte da una persona sola.
È quello che chiamo un Frankenstein operativo: un insieme di strumenti cuciti a mano, ognuno che fa il suo onesto mestiere, ma nessuno che parla con gli altri. Finché lavori, regge, perché il filo che li tiene insieme sei tu. Il guaio è che il GDPR ti chiede una cosa che il Frankenstein non sa dare: sapere, in ogni momento, quali dati tratti, dove stanno, e poterli mostrare o cancellare quando il cliente te lo chiede. E con i dati sparsi in tre, quattro, cinque posti, ogni richiesta diventa una caccia al tesoro dentro casa tua.
Non hai un problema con il GDPR come norma. Hai un problema con dei dati che vivono sparsi tra email, gestionale e cartelle, dove l’unica mappa sei tu.
E qui c’è una distinzione che ti toglie metà delle preoccupazioni, se la conosci. Un consulente o un avvocato bravo fa un lavoro vero: capisce quali trattamenti fai, ti dice con quale base puoi farli, scrive l’informativa giusta per il tuo studio e ti mette in regola sul piano del diritto. È il loro mestiere e lo fanno bene. Ma c’è una cosa che il documento non può fare: spostare i dati. La carta descrive dove i dati dovrebbero stare e con quale permesso; non va a vedere che il contratto è ancora allegato a una email di due anni fa, che la copia del documento è in tre cartelle diverse, che al portatile ci arriva chiunque lo accenda perché non ha nemmeno una password seria. Il diritto descrive, non sistema. E quando lavori da solo, la distanza tra quello che la carta dichiara e dove i dati vivono davvero è la cosa che ti espone di più, perché non c’è nessun altro che la copre per te.
Quando un cliente chiede i suoi dati, parte una caccia al tesoro dentro casa tua
Mettiamo che tu abbia tutto in regola sulla carta: l’informativa giusta, il consenso raccolto come si deve, la base corretta per ogni trattamento. Resta il fatto che quei dati, una volta entrati nel tuo studio, non stanno fermi in un posto solo. Si muovono, si copiano, si spargono, esattamente come accade in qualsiasi attività che usa più strumenti scollegati. Ed è qui che nasce il guaio vero, quello operativo, di cui il GDPR è solo lo specchio.
Segui un solo cliente, dal momento in cui entra. Ti scrive una email con i suoi documenti in allegato, e lì restano, nella casella di posta. Scarichi gli allegati e li metti in una cartella sul portatile, “per averli a portata di mano”. Carichi l’anagrafica nel gestionale per fatturargli. Lui ti manda un’integrazione via chat, e ora un pezzo dei suoi dati vive anche lì, su un’app che non è tua. Stampi un contratto e lo metti in un raccoglitore. Lo stesso cliente, dopo poche settimane di lavoro, vive in cinque posti diversi, e almeno uno (la chat sul telefono) non è nemmeno del tutto sotto il tuo controllo. È la definizione di un Frankenstein operativo: pezzi cuciti a mano, ognuno con la sua copia, nessuno che parla con gli altri.
Il risultato lo conosci anche se non l’hai mai chiamato così. Quel cliente, un domani, ti chiede una copia di tutti i dati che hai su di lui, oppure di cancellarli ora che il rapporto è chiuso. È un suo diritto, e tu sei obbligato a rispondere in tempi stretti. Apri il gestionale e trovi anagrafica e fatture. Ma i documenti che ti aveva mandato sono ancora nella casella email, in una cartella sul portatile, forse in un’altra cartella di quel progetto. Il contratto è nel raccoglitore. La chat dove si era raccontato è sul telefono. Tu rispondi con quello che trovi a colpo d’occhio e ti senti a posto, ma hai guardato in un posto e lasciato i dati accesi negli altri quattro. Per il professionista singolo questa scena è la regola, perché tutto passa da una testa sola e quella testa non ricorda ogni copia che ha fatto.
E c’è il lato proprietà, che quando lavori da solo pesa il doppio. Una parte dei dati dei tuoi clienti vive su strumenti che non sono tuoi: una chat su un’app altrui, un account in affitto, il telefono personale di chi ti dà una mano. Se quella collaboratrice se ne va, una parte di quei dati se ne va con il suo telefono. Se il fornitore di un servizio chiude o cambia le regole, ti ritrovi a inseguire i tuoi stessi documenti. Non è un’ipotesi da paranoici: è come funziona oggi in quasi tutti gli studi professionali piccoli d’Italia.
Il modo più rapido per dirlo: il GDPR non ti chiede una carta più severa, ti chiede che i dati dei tuoi clienti vivano in un posto solo, tuo, dove tu sai cosa c’è e lo puoi mostrare o cancellare quando te lo chiedono. Lo si ottiene facendo confluire i dati di clienti, fornitori e contatti in un archivio unico dove ogni persona vive una volta sola: un database tuo, sotto il tuo controllo, dove la richiesta di un cliente non fa più partire una caccia al tesoro ma trova una risposta certa in un posto solo. È lo stesso principio che vale per cosa significa davvero il GDPR per la tua attività: non una carta più bella, un posto sotto le carte dove la carta diventa vera.
Cosa ti chiede il GDPR, e cosa fa il posto unico dei tuoi dati
Il GDPR non aggiunge solo “stai più attento”. Ti chiede cose concrete, e ognuna diventa quasi impossibile da rispettare quando lavori da solo con i dati sparsi su più strumenti. Messe a confronto si vede subito dove si rompe il giocattolo.
| Dati sparsi tra email, gestionale e cartelle | Dati in un posto solo, tuo | |
|---|---|---|
| Dove vive il cliente | Email, chat, gestionale, cartelle, carta | In un posto solo, una volta sola |
| Se ti chiede una copia dei suoi dati | Cerchi in cinque posti, speri di non saltarne uno | Una ricerca, una risposta certa |
| Se ti chiede di cancellarli | Cancelli da uno e lasci acceso negli altri | Un’azione sola, su un cliente solo |
| Chi può aprirli | Chiunque accenda il portatile o abbia la chat | Solo tu e chi lavora con te, con accesso definito |
| Di chi sono i dati | Vivono anche su app e telefoni che non sono tuoi | Tuoi, sui tuoi sistemi, esportabili |
| Se chi ti aiuta se ne va | Una parte dei dati se ne va con il suo telefono | Niente: i dati restano nel sistema, non sui dispositivi |
Letta così, sparisce la domanda sbagliata (“ho l’informativa giusta?”) e resta quella giusta: i dati dei miei clienti vivono in un posto solo dove so cosa c’è e lo so mostrare o cancellare, o sono sparsi in casa mia dove l’unica mappa ce l’ho in testa io?
Prima di rifare l’informativa o aggiungere l’ennesimo documento, scopri dove vivono davvero i dati dei tuoi clienti: in pochi minuti, gratis e senza carta di credito.
Tenere i dati sparsi ti costa due volte: in ore tue e in reputazione
Tenere i dati dei clienti sparsi tra email, gestionale e cartelle, mentre la legge ti chiede di saperli mostrare in ogni momento, ti presenta il conto da due lati nello stesso momento.
Dal lato del tempo, che per chi lavora da solo è l’unica risorsa che ha. Ogni volta che un cliente ti chiede un documento di tre anni fa, o devi evadere una richiesta, parte una caccia tra strumenti che non si parlano. Sono minuti rubati al lavoro che fattura, ogni settimana, che presi da soli sembrano poco ma sommati sono giornate intere. E il consulente che ti affianca sulla privacy, che fa un mestiere vero e ti porta acqua pulita, lavora peggio se la realtà operativa non corrisponde a quello che dovrebbe certificare: può scriverti l’informativa più rigorosa del mondo, ma se sotto i dati restano sparsi, sta riempiendo a fatica una piscina che perde dal fondo.
Dal lato della reputazione, che per un libero professionista è metà del patrimonio. Il tuo lavoro vive di fiducia e di passaparola. Quando un cliente ti chiede i suoi dati e tu rispondi con un silenzio imbarazzato, o scopre che il documento che ti aveva affidato girava in una chat o stava su un portatile senza password, non hai solo un problema con la legge: hai incrinato la cosa su cui si regge la tua attività. Un cliente perdona un ritardo. Fa molta più fatica a perdonare di aver scoperto che i suoi dati riservati stavano in giro, e quel cliente parla con altri tre. C’è anche il rischio concreto, perché una fuga di dati riservati ricade in una fascia pesante, per il livello di sanzione che il GDPR collega a questi casi, e se succede sei tu, da solo, a gestirla in tempi stretti. Ma per il professionista la posta vera è la fiducia: una volta incrinata, non te la ridà nessuna informativa scritta bene.
Qui il GDPR smette di essere un argomento da avvocati e diventa un pezzo del tuo backend operativo, cioè della macchina che fa girare il tuo studio sotto le carte. Il principio è lo stesso che applico ovunque, solo applicato a chi lavora in piccolo: il dato vive in un posto solo, tuo, con un registro di chi lo tocca, così che tu sappia sempre cosa c’è e dove. Da lì discendono in automatico le cose che il GDPR ti chiede e che sparso non puoi mantenere: poter dimostrare le misure di sicurezza che hai adottato, tenere il registro dei trattamenti che il regolamento chiede e che descrive la realtà invece di un ordine immaginato, e, se mai capitasse, gestire una fuga di dati seguendo la procedura sapendo con precisione cosa c’era e dove. Non una carta migliore: un posto sotto la carta dove la carta diventa vera.
La domanda non è “ho l’informativa giusta per la mia partita IVA”. È: i dati dei miei clienti, oggi, li so mostrare tutti se me li chiedono, e li so cancellare davvero, o sono sparsi in cinque posti dentro casa mia che solo io ricordo?
Cinque domande oneste sui dati dei tuoi clienti
Non serve una consulenza da migliaia di euro per capire se i dati del tuo studio sono sotto controllo o solo sulla carta. Bastano cinque domande.
- Sai dire, di getto, in quanti posti diversi vive oggi un singolo cliente: email, gestionale, cartelle sul portatile, chat, carta, o lo intuisci e basta?
- Se un cliente ti chiedesse oggi una copia di tutti i dati che hai su di lui, riusciresti a darglieli tutti, o ne resterebbe qualcuno in una cartella che ti dimentichi?
- Se ti chiedesse di cancellarli ora che il rapporto è chiuso, lo faresti in tutti i posti dove sono finiti, o ne resterebbe una copia accesa da qualche parte?
- Il portatile dove tieni i documenti dei clienti è protetto sul serio, o se te lo rubano oggi chiunque ci entra dentro?
- Se chi ti dà una mano se ne andasse domani con il suo telefono e il suo account, quali dati dei tuoi clienti se ne andrebbero con lui?
Se a queste domande hai risposto con un sospiro, non sei nei guai: sei nella situazione di quasi tutti i professionisti che lavorano da soli o in piccolo. La differenza non la fa sapere a memoria il regolamento, ma sapere con precisione dove vivono oggi i dati e poterli mostrare quando serve. E questo lo puoi misurare adesso, da solo, in pochi minuti.
GDPR Quick Audit · il voto di conformità del tuo sito
Rispondi a poche domande sul tuo studio e sul tuo sito (cosa raccogli, dove tieni davvero i dati dei clienti, chi vi accede, come gestisci consenso e richieste) e in pochi minuti hai un voto chiaro su quanto sei a posto e dove sei più scoperto. Niente gergo da avvocato, solo dove intervenire per primo.
Inserisci i dati e parti. Senza carta di credito. Il risultato lo salvi nella tua Officina con la sola email, se vuoi tenertelo.
Il voto è il punto di partenza. Dice quanto i dati dei tuoi clienti sono davvero sotto controllo; cosa farne, lo decidi tu.
Le domande che ti stai facendo adesso
Il GDPR vale anche per un libero professionista che lavora da solo?
Sì, senza eccezioni. Il GDPR riguarda chiunque tratti dati di persone, e un libero professionista con partita IVA tratta dati ogni giorno: anagrafiche, documenti, contratti, a seconda del mestiere anche informazioni riservate sui clienti. La dimensione non ti esclude: un consulente che lavora da solo è titolare del trattamento esattamente come una grande azienda, cambia il volume dei dati, non l’obbligo di custodirli con criterio. Anzi, lavorando da solo sei l’unico responsabile di dove finiscono quei dati, quindi il “non mi riguarda perché sono piccolo” è proprio il pensiero che ti espone di più.
Cosa vuol dire che sono “titolare del trattamento”?
Vuol dire che sei tu a decidere perché e come tratti i dati dei tuoi clienti, e quindi sei tu a risponderne. Non puoi delegare quella responsabilità al gestionale, alla casella email o all’app di messaggi che usi: quegli strumenti sono utili, ma la persona che custodisce i dati e che deve poterli mostrare o cancellare quando il cliente lo chiede sei tu. Per chi lavora da solo è una responsabilità che pesa di più, perché non c’è un ufficio a cui passarla. Capire i dettagli del ruolo è materia da consulente o avvocato; quello che resta a te in ogni caso è far vivere quei dati in un posto solo dove tu sappia sempre cosa c’è.
Tratto solo qualche nome e qualche fattura, mi serve davvero fare qualcosa?
Quasi sicuramente sì, e probabilmente tratti più dati di quanti pensi. Anche solo anagrafica, codici fiscali, indirizzi, partite IVA e fatture sono dati personali che la legge ti chiede di custodire e saper gestire. E a seconda del mestiere vai oltre: redditi, situazioni patrimoniali, copie di documenti, informazioni che il cliente racconta solo a chi si fida. Il punto non è la quantità, è che quei dati siano in un posto solo dove li sai trovare. La parte normativa la imposti tu o il tuo consulente; la parte che spesso resta indietro è operativa, ed è dove vivono davvero i dati: la trovi spiegata nella guida all’adeguamento passo passo.
Sono un avvocato o un commercialista, vale lo stesso discorso?
Le basi sì, ma il tuo studio ha un livello in più. Avvocati e commercialisti trattano per mestiere dati ancora più riservati, atti, contenziosi, situazioni patrimoniali, a volte categorie particolari, e per centinaia di clienti, non per dieci. A questo, e al rapporto tra GDPR, segreto professionale e codice deontologico, ho dedicato un pezzo a parte sul GDPR negli studi legali e di commercialisti. Questa pagina parla al libero professionista in generale; se il tuo è uno studio legale o di commercialisti, quell’articolo entra più nel merito del tuo caso.
Se sistemo dove vivono i dati, sono a norma con il GDPR?
Ti tolgo la causa principale del problema, ma la conformità completa è un’altra cosa. Io non sono un avvocato e non vendo conformità garantita: l’adeguamento legale, con l’informativa e i documenti giusti per il tuo studio, lo cura chi di dovere, e fa un mestiere vero. Quello che faccio è intervenire sul livello dei dati: dove vivono, chi li tocca, come li mostri o li cancelli quando te lo chiedono. Con una base così, gli adempimenti che decidi tu o il tuo consulente diventano molto più semplici da rispettare e da dimostrare. La norma resta in mano tua; io ti tolgo il caos sotto.
Da dove inizio, senza impegno?
Dagli strumenti diagnostici gratuiti: misuri in pochi minuti quanto sei a posto sui dati che gestisci (cosa raccogli, dove vivono, chi può aprirli, lo stato del tuo sito), senza carta di credito e senza parlare con nessuno. Poi, se ha senso, ne parliamo.
Puoi continuare a tenere i dati dei tuoi clienti sparsi tra email, gestionale e cartelle, sperando che nessuno ti chieda mai di mostrarli tutti. Oppure puoi sapere, con un numero, quanto sono davvero sotto controllo oggi.
Lavori da solo. Smetti di tenere i dati dei clienti sparsi in casa. Dagli un posto solo, tuo.
La maggior parte dei professionisti che mi scrive non ha un problema con il GDPR come norma. Ha un problema con i dati dei clienti sparsi tra la casella email, il gestionale e le cartelle sul portatile, e con il fatto che, quando un cliente chiede i suoi dati, parte una caccia al tesoro dentro casa, dove l’unica mappa è la propria memoria. “Sono piccolo, non mi riguarda” è proprio il pensiero che lascia quei dati senza un posto dove stare al sicuro.
Una carta più severa non lo risolve, perché il buco non è nell’informativa: è in dove finiscono a vivere i dati che la carta promette di proteggere. Lo risolve far confluire tutto in un posto solo che è tuo, un archivio unico dove ogni cliente vive una volta sola e tu sai sempre cosa c’è, così che mostrare i dati a chi te li chiede, cancellarli quando è giusto e tenere in ordine le carte diventino cose che puoi davvero fare. Poi il consulente scrive un’informativa che descrive uno studio in ordine, invece di rincorrere un caos. La parte legale resta sua, è il suo mestiere e lo rispetto fino in fondo; io tolgo il caos operativo su cui quella norma fatica ad attaccarsi.
Non ti chiedo di firmare niente e non ti chiedo di credermi. Non sono un avvocato e non ti vendo la conformità garantita: l’interpretazione legale la cura chi di dovere. Io sigillo i buchi operativi sotto le carte: metto i dati in un posto solo, tuo, con un registro di chi li tocca. Ti chiedo solo di guardare il voto del tuo studio, gratis, in pochi minuti. Se ti suona familiare, andiamo avanti. Se non fa per te, chiudiamo qui senza rancore.
Sei piccolo, è vero. Ma i dati dei tuoi clienti meritano un posto sicuro lo stesso. Adesso scopri se ce l’hanno, o se sono ancora sparsi in cinque posti dentro casa tua!
Strumenti gratuiti. Senza carta di credito. Senza parlare con nessuno.
