Privacy, nuove regole con il GDPR: il parere del Presidente dell’associazione AssoDpo

Le Nuove regole per la privacy, tra le principali l’introduzione del Dpo. Colombo: “Entro fine anno si punta al raggiungimento di 50.000 unità”

Dal 25 maggio 2018 è in vigore il nuovo Regolamento generale per la protezione dei dati personali, che ha introdotto nuove regole. Una delle principali, cui si stanno conformando le numerose aziende italiane, è l’introduzione del Dpo, data protection officer, ovvero il responsabile della protezione dei dati personali. A fare il punto sulla situazione è stato il Presidente dell’Associazione AssoDpo, Matteo Colombo.

Quali sono le principali novità che riguardano l’introduzione della figura del DPO?L’impatto principale è dovuto al fatto che in alcune organizzazione da adesso in poi c’è finalmente un direttore d’orchestra che si occupi della preparazione della parte documentale e della gestione di tutti quei processi di trattamento dei dati; cosa che prima difficilmente avveniva: alcune aziende, infatti, non avevano ciò che oggi può essere considerato il tutore privacy, un professionista che riesce a supportare il Titolare nella trattazione della normativa.

Ad oggi quanti sono i DPO presenti nel nostro Paese? E quali sono i principali compiti che deve affrontare? Fonti del Garante hanno dimostrato che ad inizio luglio i DPO, nominati dall’Autorità Garante, si aggiravano intorno alle 35.500 unità. Si stima che, entro fine anno almeno a 50.000 unità. Quanti di questi siano davvero in grado di svolgere il proprio lavoro, non posso ancora affermarlo però penso che questa sia una nuova professionalità che va costruita giorno dopo giorno con impegno. Il DPO deve occuparsi di nuove situazioni che prima un consulente non era abituato a fare come ad esempio sorvegliare oppure essere un punto di contatto diretto per l’interessato con l’Autorità. È una professione, insomma, che si sta creando e si sta formando giorno dopo giorno. Bisogna avere tanta volontà e voglia di imparare.

Quali sono le caratteristiche che un buon DPO deve possedere affinché svolga nel migliore dei modi il compito che gli viene assegnato? Un buon DPO deve avere tanta curiosità, una preparazione nel campo legale, informatico, in quello dei processi aziendali. Tre grandi temi che devono abbracciare conoscenza della parte normativa da un lato e delle prassi operative dall’altro: non è sufficiente studiare la norma, bisogna anche saperla applicare anche all’interno delle aziende in generale e delle Pubbliche Amministrazioni”.

Quali sono le linee guida che un’azienda dovrebbe seguire in modo da scegliere un buon DPO? Le linea guida che un’azienda dovrebbe seguire per scegliere un buon DPO è certamente svolgere un’analisi profonda di quelli che sono i cicli presentati, le esperienze avute in tema di trattamento dei dati, gli studi fatti, i corsi seguiti e capire se si tratti di persone che si sono approcciate solo nell’ultimo periodo alla tutela della privacy o da anni si occupano di normative in materia. A tal proposito, è bene ricordare che è presente lo schema di certificazione delle competenze che elenca tutta una serie di requisiti da rispettare.

DPO: una voce nelle “uscite” dell’azienda o un’opportunità? Il DPO è una parte integrante dell’azienda. Oggi un’azienda non può prescindere da avere una figura del genere: non si tratta di un costo da sostenere, ma di un valore aggiunto. Se si possiede un’azienda che ha un CRM e un database correttamente costituito con consensi 140 corretti, questo CRM ha un dato valore e, di conseguenza, l’azienda ha un valore corretto; se, invece, non fosse corretto si avrebbe un disvalore, come avere un terreno inquinato. Investire sul trattamento dei dati, quindi, vuol dire investire sulla propria azienda oltre che su un tema di carattere etico.

In quale settore, secondo Lei, occorre maggiormente la presenza di questa figura? Oggi, a parte la Pubblica Amministrazione, è fondamentale l’introduzione del DPO anche in quegli ambiti dove si sono rese necessarie delle scelte automatizzate rispetto alla selezione del personale, rilascio di un mutuo, di un finanziamento, il caso dei braccialetti elettronici di controllo dei lavoratori piuttosto che preventivi online. Queste rappresentano, senza dubbio, situazioni che devono essere monitorate da un vero e proprio professionista della privacy.

In sintesi, cosa può significare introduzione del DPO? L’introduzione del DPO rappresenta una grande opportunità ma allo stesso tempo una grande sfida. Io credo in questa sfida, anche perché io stesso sono DPO di alcune multinazionali. Il nostro obiettivo principale è, senza dubbio, quello di dare un valore aggiuntivo all’azienda.

DPO e Responsabile del trattamento, qual è la differenza visto che oggi si tende a fare sempre più spesso confusione con i due termini? La traduzione italiana di Data Protection Officer è stata un po’ infelice. C’è da precisare che da una parte abbiamo l’art.28 delinea la figura del Responsabile del trattamento che è il soggetto esterno che tratta i dati i nomi e per conto del titolare e dall’altra, invece, il Responsabile della protezione dei dati, il DPO, che è il soggetto professionista che va ad affiancare l’organizzazione nel trattamento del dati. Sono due figure completamente diverse tra di loro.

Privacy, Montanile: “Il GDPR ha risolto problemi del passato”

In Italia, col tempo, sono nate associazioni di categoria che si occupano di tutelare i cittadini nel rispetto della propria privacy. Una di queste associazioni è Privacy Safe, con a capo Massimo Montanile, che ha illustrato il suo punto di vista sulla protezione dei dati personali, spiegando in che modo le aziende stiano adeguandosi alle nuove normative introdotte dal GDPR e in che modo si possa garantire maggiore privacy ad ogni cittadino.

Con l’entrata in vigore del nuovo regolamento è stato introdotto l’accountability e tante altre norme cui le aziende devono adeguarsi. Cosa bisogna temere che sia, dunque, successo in questi anni e da adesso in poi ci sarà qualche miglioramento o c’è ancora da lavorare? In realtà il Regolamento Ue in materia di protezione dei dati personali (RGPD – Regolamento Generale sulla Protezione dei Dati personali, o GDPR – General Data Protection Regulation, per usare il diffusissimo acronimo anglofono) è entrato in vigore a maggio 2016. Esso è pienamente applicabile, in tutti i paesi dell’Unione Europea, dallo scorso 25 maggio. Molte sono le novità ma soprattutto si introduce un cambio di prospettiva, responsabilizzando chi tratta i dati personali, proprio attraverso il principio di accountability, che può tradursi in una responsabilità per rendicontazione: si deve dar prova di aver analizzato il rischio privacy, di averlo valutato e di aver scelto le misure adeguate per contrastarlo. I due anni trascorsi dall’entrata in vigore ad oggi erano stati pensati dal legislatore proprio per consentire alle organizzazioni di adeguarsi alle nuove regole. Purtroppo, almeno in Italia, solo poche realtà private e pochissime pubbliche sono state previdenti e quindi si inizia praticamente ora a lavorare.

Alcune aziende sostengono che i costi sono elevati per adeguarsi alle nuove normative, con l’introduzione anche del DPO. Quali, secondo Lei, le operazioni che dovrebbero effettuare per ammortizzarli? Per far in modo che l’implementazione delle misure necessarie ad adeguarsi al GDPR non siano classificate solo nella voce “costi” è necessario abbandonare definitivamente l’approccio “cartaceo” che ha spesso contraddistinto la modalità attuata da molte organizzazioni nazionali, sia pubbliche che private. Solo con una vision più ampia, che consideri a 360° il rischio d’impresa, quindi anche il rischio privacy, si può impostare un modello che può trasformarsi in un fattore di efficientamento aziendale e quindi tradursi in vantaggio competitivo rispetto a chi non possiede tale vision. Si consideri che oggi i dati costituiscono il motore dell’economia e quindi vanno protetti e valorizzati. Il GDPR indica come farlo, con un occhio di riguardo per i costi delle Piccole e Medie Imprese europee e dunque anche italiane. Anche la figura del DPO è funzionale a questo modello: una figura, non sempre obbligatoria, che però facilita notevolmente l’applicazione del GDPR, svolgendo un ruolo di alta consulenza e di garanzia per il titolare o per il responsabile del trattamento.

Nell’era tecnologica e di uso frequente di termini stranieri nelle nostre leggi, secondo la sua opinione, permette davvero alle aziende di ben comprendere le nuove normative oppure pensa che anche per questa ragione, a volte, si finisce per creare confusione? Francamente credo che dovremo sempre più abituarci a confrontarci con i termini stranieri, soprattutto inglesi. Siamo ormai nel Digital Single Market e praticamente tutte le azioni produttive e le nostre attività si svolgono grazie ad APP, apparati, sistemi tecnologici che solo in rari casi hanno una dimensione unicamente nazionale. Il riferimento è il mondo, si ricordi il vecchio slogan think global, act local, per cui se si vuole comprendere e contribuire a questa esaltante fase del nostro sviluppo, non possiamo non confrontarci con il resto del mondo. Tuttavia credo che vada fatto un grande sforzo per consentire ai normali fruitori della tecnologia di essere nella loro confort zone, di essere a proprio agio con la tecnologia, interagendo con essa in modo naturale, con il proprio linguaggio nativo. Ma, ripeto, chi intende confrontarsi con i protagonisti dell’evoluzione tecnologica non può rinunciare all’inglese, almeno.

Questo nuovo Regolamento per lei ha risposto concretamente alle esigenze al fine di tutelare la privacy oppure presenta ancora qualche carenza? E dove in particolare? Credo che il GDPR si partito con ottime intenzioni ed in effetti ha superato molti problemi del passato, non ultimo la frammentazione della privacy in tante declinazioni locali: ogni nazione aveva le sue leggi sulla privacy, mentre oggi finalmente possiamo avere, in Europa, un unico quadro normativo di riferimento. Tuttavia l’iter di approvazione della proposta di Regolamento ha dovuto fare i conti con le tante lobby che ne hanno a volte snaturato gli intenti, finalizzando nel 2016 un Regolamento che non è completamente compiuto. Inoltre molti autorevoli esperti sottolineano che il GDPR introduce una sorta di incertezza del diritto, proprio per aver introdotto il concetto di adeguatezza, valutata dal titolare, delle misure da adottare, in sostituzione di quelle minime che prima erano dettate dalla legge italiana sulla privacy. Ma questo passaggio a me piace particolarmente, perché più in linea con i tempi attuali e futuri. Mancano però (e siamo in attesa di analogo specifico regolamento) indicazioni chiare nei settori strategici delle comunicazioni, del marketing, della sanità. Quindi il percorso è iniziato ma siamo ancora all’inizio.

E’ importante garantire e tutelare la privacy. Molto, infatti, dipende soprattutto dalla formazione. In basi a quali specifiche caratteristiche deve essere scelta la figura professionale che si andrà ad occupare di ciò? Le “misure adeguate” di cui abbiamo parlato e dunque tra queste anche il momento della formazione, devono andare ben oltre il mero aspetto formale e diventare momento effettivo-sostanziale che possa dar contezza della loro effettività. Diventa così urgente per un’organizzazione che voglia essere compliance al GDPR, avviare un mirato progetto di formazione/informazione su tematiche di Data Protection e di Analisi dei Rischi. Si pensi al considerando 39 del nuovo Regolamento, vero e proprio manifesto della Privacy, perseguibile solo con un approccio altamente strutturato e sostenuto da un continuo programma di formazione che sia fortemente contestualizzato nei processi, nei ruoli e nelle responsabilità aziendali. Rientra nei compiti del DPO – Data Protection Officer (art. 39 del Regolamento) sorvegliare che sia attuata un’efficace politica di sensibilizzazione e formazione del personale che partecipa ai trattamenti. Qui val la pena notare che il Consiglio d’Europa ha introdotto il concetto di “awareness-raising” del personale addetto, ben comprendendo quanto sia indispensabile una sensibilizzazione e consapevolezza diffusa sui temi della privacy, a tutti i livelli aziendali. I Garanti europei hanno chiarito che, per adempiere ai compiti del DPO, non sono richieste attestazioni formali o iscrizioni ad albi. Tuttavia il DPO deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di protezione dei dati personali e deve possedere una conoscenza specifica delle procedure che caratterizzano il settore in cui dovrà operare. La complessità della funzione DPO implica la necessità di potersi avvalere di altre figure specialistiche: avvocati, esperti di analisi del rischio, esperti privacy, esperti informatici.Comunque il tema della formazione/informazione mi sta particolarmente a cuore. Per questo ho fondato, insieme ad altri autorevoli personalità, l’Associazione Privacy Safe, di cui sono Presidente. L’Associazione PrivacySafe considera indispensabile la diffusione, l’approfondimento e l’aggiornamento di una responsabile cultura della privacy tra i cittadini e tra gli operatori di tutti i settori del mercato, critici per il trattamento dei dati personali, in Italia e in Europa. Tali finalità sono sviluppate e sostenute anche mediante attività di ricerca e di studio, con la produzione, pubblicazione e divulgazione di analisi, ricerche, documenti e l’organizzazione di eventi sulle tematiche privacy più rilevanti, anche in armonia con altri enti e istituti di ricerca e con l’Autorità Garante, affinché le iniziative economiche, imprenditoriali, istituzionali e professionali in genere si svolgano in modo da salvaguardare i principi della privacy e della data protection.

Secondo lei, con lo sviluppo della tecnologia, e il continuo evolversi di applicazioni ci sarà ancora da lavorare dopo l’entrata in vigore del nuovo Regolamento e in che settore in particolare? Certamente. Il Regolamento è stato impostato proprio perché le organizzazioni affrontino il tema della compliance con un approccio continuativo, valutando i rischi di un trattamento di dati personali e quindi rivalutandoli a seguito di variazioni significative, tipicamente dovute all’introduzione di nuova tecnologia. I settori che a mio avviso saranno maggiormente esposti sono quelli che faranno sempre più uso delle nuove frontiere della tecnologia: l’analisi dei Big Data ed i dispositivi IOT – Internet Of Things, cioè l’interconnessione su internet di device intelligenti, l’industria automobilistica che ne farà sempre più uso, il settore Sanità, ecc.

Tutti vogliono che sia tutelata la propria privacy. Ma perchè secondo lei c’è ancora qualcuno che non fa abbastanza per tutelarla? Si pensi all’accettazione delle tradizionali “informative” di applicazioni e diversi siti internet. Non sono proprio sicuro che tutti vogliono che sia tutelata la propria privacy. Pensiamo con quale facilità si cedono i propri dati personali pur di scaricare gratuitamente un’App particolarmente accattivante. Molti fornitori di tali prodotti/servizi non si preoccupano di curare le informative, ben sapendo che non sarebbero lette. Quindi rovescio la domanda. Che cura abbiamo dei nostri dati? Dovremmo essere noi i primi ad averne cura, o ad avere la consapevolezza di rinunciare a questo diritto, nel momento in cui li barattiamo con servizi apparentemente gratuiti.