Finiamo per effettuare più transazioni commerciali — e vista la semplicità, sono molto aperto a spostare una parte maggiore dei pagamenti in entrata e in uscita su Vivid.
Silvan Jongerius, Managing Partner

Tech GDPR è passata a Vivid dopo essersi trovata sempre più insoddisfatta delle condizioni, della qualità del servizio e dei tempi di risposta delle banche tradizionali. “Tutto era lento e costoso”, ricorda Jongerius. Quello che era nato come un semplice conto per parcheggiare la liquidità si è rapidamente evoluto in qualcosa di più. “All’inizio ci siamo registrati su Vivid soprattutto per gestire il capitale. Oggi però finiamo per effettuare sempre più transazioni commerciali — e vista la semplicità, sono molto aperto a spostare una parte maggiore dei pagamenti in entrata e in uscita su Vivid. Lo stiamo facendo gradualmente, ma non era la mia aspettativa iniziale.”
L’illusione della compliance: quando le policy non rispecchiano la realtà
Della protezione dei dati si parla molto, ma raramente viene capita a fondo. Molte aziende trattano il GDPR come un semplice esercizio documentale — un problema da risolvere generando rapidamente delle policy, a volte persino con l’IA. Nella pratica, questo approccio crea solo un falso senso di sicurezza. Le policy possono esistere, ma spesso non riflettono come i dati circolano davvero all’interno dell’organizzazione. “Alcune aziende iniziano scrivendo le policy con l’IA — usano ChatGPT e strumenti simili per creare informative sulla privacy che non rispecchiano affatto la realtà aziendale”, spiega Jongerius. “Non hanno fatto la due diligence. Non hanno esplorato internamente per capire quali processi avvengono davvero, e quei processi non vengono riflessi nelle policy. È una carenza grave.” Alex Carroll, Consulting Manager dello studio, vede ogni giorno questa distanza dal lato del cliente. “Sorprende quante persone all’interno della stessa azienda abbiano una visione completamente diversa di ciò che l’azienda fa o di come utilizza i dati”, dice. La discrepanza tra come un’azienda si presenta all’esterno e come funziona davvero all’interno è, secondo la sua esperienza, la regola più che l’eccezione.
«Alcune aziende iniziano scrivendo le proprie policy con l'IA — usano ChatGPT e simili per creare informative sulla privacy che in realtà non rispecchiano la realtà dell'azienda», spiega Jongerius. «Non hanno fatto la dovuta due diligence. Non hanno esplorato internamente per capire davvero quali processi si svolgono, e quei processi non sono quindi rispecchiati nelle policy. È una mancanza grave.» Alex Carroll, Consulting Manager dello studio, vede questa distanza dal lato cliente ogni giorno. «Saresti sorpreso da quante persone all'interno di un'azienda abbiano una comprensione completamente diversa di ciò che la loro stessa azienda fa o di come usa i dati», dice. Lo scollamento tra il modo in cui un'azienda si presenta all'esterno e come opera realmente all'interno è, secondo la sua esperienza, la regola piuttosto che l'eccezione.
Un passo davvero fondamentale è prima capire quali dati vengono effettivamente trattati all’interno di un’organizzazione, prima ancora di pensare a scrivere le policy.
Silvan Jongerius, Managing Partner

Oltre la checklist: come Tech GDPR costruisce una compliance che regge alla prova dei fatti
Tech GDPR adotta un approccio diverso. In quanto boutique di consulenza, l’azienda punta sulla profondità più che sulla scala e collabora strettamente con i clienti per mappare e analizzare come i dati vengono davvero trattati nelle operazioni quotidiane. “Quando lavoriamo con un cliente, otteniamo uno sguardo molto approfondito sotto il cofano — vediamo molti meccanismi interni e capiamo esattamente come sono strutturati i processi”, racconta Jongerius. “Avere questa visibilità su tante organizzazioni che lavorano con tecnologie nuove e fanno cose davvero interessanti è estremamente stimolante.” Carroll, che guida un team di consulenti privacy e tech e segue i clienti chiave, descrive il lavoro in termini molto pratici: “La compliance non è fisica quantistica. Non bisogna mai sottovalutare ciò che può andare storto. Non bisogna mai sopravvalutare quanto un’azienda sia pronta o quanto sia chiaro al suo interno ciò che deve fare. Si tratta di non dare nulla per scontato, di essere organizzati e di non lasciare nulla di sospeso — è essenzialmente ciò che fa un consulente.” Invece di fornire framework generici, Tech GDPR traduce i requisiti normativi in miglioramenti concreti e operativi — aiutando le aziende a costruire sistemi che siano al tempo stesso conformi e sostenibili dal punto di vista commerciale. “Tech GDPR è nata proprio per aiutare le aziende per le quali la compliance al GDPR era molto difficile, e per trovare comunque un modo di fare le cose nel modo giusto — tutelando la privacy delle persone e creando al contempo una situazione praticabile per le imprese”, aggiunge Jongerius.
Da CTO a fondatore nel campo della compliance: una svolta di carriera mossa dalla curiosità
Jongerius non arriva originariamente dal mondo della protezione dei dati. Con un background in tecnologia e gestione nell’ambito dell’istruzione — tra cui quattordici anni come direttore generale di quattro sedi di un college di arti creative e media nel Regno Unito — il suo ingresso nella privacy è stato dettato dalla necessità. Mentre ricopriva il ruolo di CTO, gli venne affidato il compito di garantire la compliance al GDPR — una responsabilità che la maggior parte dell’organizzazione voleva evitare. “Era qualcosa di cui nessuno voleva davvero occuparsi, ma per qualche motivo lo trovavo molto interessante”, racconta. Quella curiosità lo ha portato a cofondare Tech GDPR a Berlino nel 2018. Il percorso di Carroll è stato altrettanto insolito. Prima di entrare in Tech GDPR nel 2018, veniva dal mondo della compliance normativa — norme ISO, sistemi di gestione. “All’inizio ero piuttosto nuovo al tema della protezione dei dati”, ammette. “Dovendolo studiare e poi tradurre in raccomandazioni concrete per i clienti, ho sicuramente cambiato il mio rapporto con le piattaforme e i dispositivi elettronici.”
Il percorso di Carroll è altrettanto atipico. Veniva dal mondo della compliance normativa — norme ISO, sistemi di gestione — prima di entrare in TechGDPR nel 2018. «All'inizio ero piuttosto nuovo alla protezione dei dati», ammette. «Aver dovuto studiarla e poi tradurla in raccomandazioni concrete per i clienti ha decisamente cambiato il mio rapporto con le piattaforme e i dispositivi elettronici.»
La mia esperienza combinata in imprenditoria, leadership aziendale, tecnologia e nel quadro giuridico del GDPR — è proprio questo, credo, a darmi un vantaggio nella fondazione di Tech GDPR.
Silvan Jongerius, Managing Partner

Quando la protezione dei dati diventa uno stile di vita
Lavorare nella protezione dei dati non influisce solo sui processi aziendali — cambia anche il modo in cui si interagisce con la tecnologia nella vita di tutti i giorni. Sia Jongerius che Carroll descrivono una vigilanza professionale che ha trasformato le loro abitudini personali. “Se non capisco come un’azienda utilizza i miei dati, sono il primo a chiedere ulteriori informazioni, a rileggere l’informativa sulla privacy e a contattare il responsabile della protezione dei dati”, racconta Jongerius. A livello personale pensa con attenzione a dove sedersi in un bar (“Mi assicuro sempre di avere la schiena contro il muro”), a chi potrebbe ascoltare le conversazioni e a cosa è visibile sul suo schermo negli spazi pubblici. Carroll si è spinto ancora oltre. Ha smesso di usare quasi tutti i social — “LinkedIn lo uso perché ha uno scopo professionale, ma Facebook decisamente non più” — e sta attivamente allontanando la sua famiglia dai prodotti Meta. “Sto portando la mia famiglia via da WhatsApp, perché ormai sappiamo che le conversazioni e i contenuti condivisi lì vengono usati per scopi pubblicitari”, spiega. “Non voglio che le foto di famiglia vengano interpretate come segnali di stile di vita e trasformate in pubblicità targettizzata.” Persino qualcosa di banale come un banner dei cookie diventa un esercizio professionale. “Quando visito un sito e mi appare un banner dei cookie, lo leggo almeno in parte”, dice Carroll. “Non leggo i dettagli perché non mi fido dei dettagli — sono pensati per farti credere che la privacy stia a cuore all’azienda. In realtà, contano solo i tuoi dati.” Il suo consiglio per tutti: “Prima di cliccare e registrarti a un servizio, dai un’occhiata al sito, all’azienda e a come comunica. Non fidarti quando dicono che la privacy è importante per loro. Non serve capire perfettamente l’informativa sulla privacy — ma capisci in fretta se la prendono sul serio o no.” Jongerius aggiunge un avvertimento sugli strumenti di IA: “Stai attento a cosa affidi a ChatGPT. È noto che i dati vengono riutilizzati per addestrare i modelli — inoltre può memorizzare cose di cui parli per un uso futuro. E OpenAI ha appena firmato contratti con il Dipartimento della Difesa degli Stati Uniti, quindi è legittimo chiedersi cosa possa accadere ai tuoi dati nell’ambito di quel contratto.”
Autonomia by design: costruire una consulenza remote-first
Tech GDPR opera come un’azienda remote-first costruita attorno ad autonomia e fiducia. Il team è organizzato per lavorare in modo indipendente, con la libertà di gestire le proprie responsabilità senza una supervisione costante. Lo stile di leadership di Jongerius è influenzato da un approccio collaborativo, tipicamente olandese, alla presa di decisione — coinvolgere il team nelle scelte chiave e dare la direzione insieme. “Non sono il tipo che guarda tutti i giorni alle spalle dei propri collaboratori. Mi piace che siano indipendenti e voglio metterli nelle condizioni di esserlo”, dice. “Spero che il mio team direbbe lo stesso. È più una speranza che un’aspettativa, devo ammetterlo.” La strategia di assunzione dell’azienda riflette un investimento consapevole nello sviluppo delle persone. “Siamo una boutique di consulenza, quindi la nostra strategia è scegliere persone con background promettenti, che capiscano davvero la tecnologia o che abbiano almeno un forte interesse per essa”, spiega Carroll. “La consulenza legale e in cybersecurity non è così tecnica come molti pensano — si tratta soprattutto di avere la mentalità giusta per capire i processi aziendali e i rischi legati alla tecnologia.” Carroll lavora con giovani professionisti con uno o tre anni di esperienza e li aiuta a capire come funzionano davvero le aziende — dalle dinamiche del consiglio di amministrazione ai disallineamenti tra i reparti. “Ciò che fa un consulente, e che il mio team sta imparando a fare, è vedere i collegamenti tra i silos”, dice. Dopo un periodo di turnover più alto, il team si è stabilizzato. “Ormai da un paio d’anni abbiamo un team abbastanza stabile, ed è una vera soddisfazione”, aggiunge Jongerius.
Come Tech GDPR gestisce le operazioni finanziarie
Operare in Germania e a livello internazionale con attività rivolte ai clienti richiede processi finanziari efficienti. Pagamenti veloci, una visione chiara della spesa e la possibilità di tenere il banking aziendale separato dai dispositivi personali — tutto questo è importante per un’azienda che ragiona in modo professionale sui flussi di dati. Vivid aiuta Tech GDPR a semplificare questi processi offrendo un’interfaccia unificata per gestire spese e finanze aziendali. Invece di affidarsi a sistemi bancari legacy lenti e frammentati, il team può monitorare le transazioni, controllare i saldi e gestire le operazioni quotidiane in un’unica piattaforma. Per un’azienda focalizzata su trasparenza e controllo nella protezione dei dati, la velocità operativa e l’approccio digital-first di Vivid si integrano in modo naturale: “Con il banking moderno — anche se non mi piacciono tutti i suoi aspetti — i processi sono in genere molto più rapidi. E questo aiuta quando si gestisce un’azienda.” L’unica riserva di Jongerius è, fedele alla sua visione della privacy: “Preferisco tenere il mio dispositivo mobile personale fuori dalle operazioni bancarie aziendali — non mescolare le cose. E questo anche per ragioni di privacy.” Anche il suo feedback sulla banca passa attraverso lo sguardo di un professionista della protezione dei dati.












