A cura di Gaia Magrini, Data Protection Officer di Kirey Group
Il 25 maggio 2018 è una data che non dimenticheremo facilmente: l’entrata in vigore del GDPR, un grande cambiamento nella protezione dei dati avvenuto in Europa. Ne avevamo discusso molto nei mesi precedenti alla sua attuazione e le aziende sono arrivate a quell’appuntamento per lo più pronte, almeno formalmente.
Tra pochi giorni ci troveremo a fare un bilancio di questo primo anno di GDPR; sicuramente un anno positivo per tutti: il Garante si è visto attribuire in modo crescente strumenti flessibili per garantire l’applicabilità, la protezione dei dati è divenuta un tema centrale e, infine, la sicurezza dei dati si è finalmente unificata a livello europeo. Restano però ombre consistenti davanti a un Regolamento in continua evoluzione e a un livello di consapevolezza della protezione dei dati da parte degli utenti, che, nonostante le continue segnalazioni di data breach e sanzioni anche ai Big dell’economia digitale, fatica a crescere con lo stesso passo.
Dall’adeguamento formale alla quotidianità: una sfida sempre più impegnativa
Molte delle aziende che si definivano pronte per Il GDPR hanno realizzato dopo pochi mesi che alcuni aspetti erano stati sottovalutati: il principale, a mio avviso, è che quanto costruito necessitava di essere manutenuto e aggiornato costantemente.
Un esempio, in questo senso, è il Registro dei Trattamenti, indispensabile per tenere traccia delle operazioni effettuate dall’organizzazione sui dati personali degli interessati ed essere in grado di valutare gli obblighi normativi applicabili. Tale registro (del Titolare e del Responsabile ove richiesto) costituisce sicuramente una delle prime evidenze richieste in caso di ispezione. Molte aziende lo avevano già adottato in precedenza, ed erano formalmente pronte, ma hanno presto capito che questo non bastava perché il registro deve essere costantemente aggiornato, ed è solo una base di partenza!
Un secondo esempio riguarda la designazione del responsabile esterno; molte aziende ritenevano che fosse di per sé sufficiente, che bastasse quindi designare tutte le società che trattavano i dati mandando loro lettere di designazione per essere conformi. Decisamente non è così, perché garantire la compliance al GDPR implica attivare verifiche e promuovere audit costanti, aspetto che ha esposto le aziende che agiscono anche in qualità di Responsabili esterni ad audit e a verifiche da parte dei clienti Titolari dei dati.
È ormai evidente che la conformità al GDPR richiede un’apposita formazione e un’assistenza esperta in fatto di tecnologie unita a un approccio rigoroso, con il supporto dei dipartimenti Legal e IT e di società di consulenza, per condurre valutazioni approfondite e analisi della normativa, nonché dei processi aziendali. Questo perché la normativa, spesso di per sé difficile da interpretare, subisce modifiche continue che rendono il percorso di conoscenza e adeguamento impegnativo e ininterrotto. Un’attenta valutazione non può prescindere, inoltre, dall’analisi delle diverse normative applicabili di volta in volta alle singole realtà.
In questo senso, il GDPR è uno strumento di partenza non di arrivo, prevede un approccio dinamico e orientato sia al principio di Accountability – uno dei pilastri del GDPR, che implica la definizione di misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato in conformità – sia al miglioramento continuo di un sistema di gestione della privacy interno all’azienda. Un percorso che anche io, in prima persona, in qualità di DPO del Gruppo Kirey, mi trovo ad affrontare ogni giorno per garantire che Kirey sia conforme, e con grande attenzione anche verso l’esterno perché il Gruppo opera come Responsabile del trattamento per realtà diversificate, scenari complessi, nei quali gestire i rapporti con clienti per i quali eroghiamo servizi. Inoltre il Gruppo ricoprire il ruolo di DPO esterno per aziende molto diverse tra loro, nel mondo dei media, fino alle società di gestione del risparmio.
La tecnologia è protagonista
Fin dalla sua entrata in vigore è apparsa evidente la relazione tra il GDPR e la nuova rivoluzione digitale, nella quale i dati personali sono al centro e l’innovazione si trasforma in servizi innovativi sfruttando l’enorme mole di dati che le nuove tecnologie consentono di raccogliere, analizzare, tracciare, condividere e incrociare.
Un segnale della crescente attenzione alle tecnologie digitali viene dal fatto che oggi le ispezioni sono condotte dal Nucleo Speciale Tutela Privacy e Frodi Tecnologiche, nucleo speciale che quindi può vantare competenze specifiche non solo in materia di privacy, ma altresì tecnologica e di sicurezza informatica in particolare.
Se è vero che fin dal principio la cyber security si lega in modo intrinseco al GDPR, è altrettanto vero che il dialogo tra sicurezza informatica e normativa è anch’esso profondamente in evoluzione. Già nel decreto legislativo 18 maggio 2018, n. 65 era stata data attuazione alla Direttiva (UE) 2016/1148 c.d. sulla cyber security, decreto che si applica, fra gli altri, a soggetti che erogano servizi essenziali quali banche e assicurazioni. Oggi privacy e cybersecurity si muovono in parallelo e la collaborazione tra DPO e CISO- Chief Information Security Officer (ove nominato) diventa un aspetto imprescindibile.
Si tratta di un percorso continuo che costituisce una parte fondamentale della nuova strategia per la sicurezza cibernetica dell’Europa e che, in linea con l’articolo 5 del GDPR, dovrebbe garantire un salto di qualità per quella “privacy by design” già insita nel concetto stesso di GDPR.
Ritengo però fondamentale portare l’attenzione dei Titolari dei dati al fatto che l’impegno crescente verso gli aspetti tecnologici non debba risultare fuorviante e fare propendere i loro sforzi unicamente verso la parte tecnologica, dimenticando la componente organizzativa. Ritengo, infatti, che non esista un modo per essere conformi al GDPR se non investendo complessivamente sull’organizzazione.
Titolari dei dati e DPO, un dialogo approfondito in evoluzione
La privacy non è e non può essere una materia dell’IT; coinvolge l’ufficio legale, il marketing e la gestione delle risorse umane e in generale tutte le divisioni aziendali. Un modello coerente, ma soprattutto efficace, parte dal basso, dalla sensibilizzazione dei vari soggetti coinvolti. L’IT svolge sicuramente un ruolo centrale nel trattamento dei dati, soprattutto nell’ottica “privacy by design”, ma non bisogna dimenticare il contesto complessivo.
Se il mascheramento dati e la cancellazione, ad esempio, sono aspetti tecnici importanti, al Titolare spetta il compito di verificare e dimostrare che l’organizzazione, in base all’analisi del suo modello aziendale, sia conforme, quali siano i veri rischi e quali misure (fisiche, logiche e organizzative) sia necessario implementare.
Per questo motivo, il DPO quale figura professionale con particolari competenze cross in campo informatico e giuridico, ma anche di valutazione del rischio e di analisi dei processi, si trova a svolgere un ruolo fondamentale anche come promotore di competenze e formazione rispetto ai vertici aziendali e alle figure di riferimento. Essenziale, inoltre, che questa figura abbia una conoscenza approfondita dei processi e del business di riferimento, perché solo in questo modo potrà aiutare il Titolare a disegnare un modello effettivo e garantista.
Nella mia quotidianità ho notato come i Titolari dei dati siano sempre più consapevoli risetto alla normativa e richiedano un confronto sempre maggiore e la verifica approfondita di come si debbano disciplinare le varie richieste, in particolare dal punto di vista del principio di Accountability per essere sempre in grado di dimostrare che il trattamento dei dati personali è effettuato conformemente al Regolamento.
Per questo motivo ritengo che la scelta del Data Protection Officer e la sua capacità consulenziale, nell’assistere in modo costante il Titolare, con verifiche continue sulla privacy dei contratti, ad esempio, o la verifica che tutta la documentazione prodotta, anche quando si avviano nuovi progetti, si rivelerà un aspetto fondamentale non solo dal punto di vista del rispetto della privacy, ma anche della capacità di sfruttare nuove opportunità di business ed evitare che l’inasprirsi delle sanzioni e la perdita di fiducia derivante da eventuali data breach ostacolino l’azienda nella sua crescita e trasformazione digitale. Un impianto privacy compliant oggi, infatti, deve essere visto dalle aziende non solo come un modo per tutelarsi da eventuali sanzioni, ma anche per essere sul mercato un player affidabile e poter garantire un servizio di qualità.