Colin Focus Day, le direzioni IT si confrontano con la nuova data protection

07/03/2016
di Silvia Calissi

IMG_6391Acceso interesse tra gli IT Manager invitati a partecipare al secondo Colin Focus Day 2016 sul tema “Privacy e regolamento europeo: ruolo e responsabilità del comparto IT nelle imprese”. Al centro dell’evento, Colin & Partners ha posto l’analisi del nuovo Regolamento Europeo sotto il profilo degli impatti che riguardano gli uffici IT. La complessità del GDPR (General Data Protection Regulation) ne impone una lettura declinata sulle specificità di ogni funzione aziendale e l’IT Manager, più delle altre figure aziendali, assumerà il ruolo propulsivo per influenzare gli indirizzi aziendali verso flussi di lavoro tecnologici e sicuri.

Capire il Regolamento ragionando per obiettivi

Prima sfida posta agli IT Manager è quella di far comprendere al resto dell’azienda il valore della manovra economica messa in atto dall’Europa, non solo in termini di vantaggi competitivi per un mercato unico dei dati, ma anche come investimento per proteggere il know how aziendale ed evitare le sanzioni economiche decisamente elevate. Le violazioni delle disposizioni infatti vengono sanzionate in modo più ampio rispetto al nostro Codice Privacy, e soprattutto verranno irrogate in base al fatturato mondiale dell’azienda. «La ratio di tale penalizzazione risiede nel fatto che si vuole colpire l’azienda nel suo complesso e non solo un comparto dislocato in una parte del mondo, deresponsabilizzando le sedi principali», ha sottolineato l’Avv. Frediani.

Secondo obiettivo: rendersi conformi rispetto al Codice Privacy e agli adempimenti al momento in vigore consente di fare un passaggio più sereno verso gli adeguamenti del Regolamento Europeo. Il nostro Codice infatti è il presupposto minimo ed indispensabile per andare incontro al nuovo al Regolamento. Inoltre i Provvedimenti del Garante e le indicazioni dell’autorità nazionale manterranno una sensibilità su temi particolari come marketing e CRM, anche per non inficiare la continuità e l’autonomia decisionale degli Stati. Il Regolamento quindi lascia spazi aperti per le pronunce delle Autorità nazionali, ma le aziende devono comunque comprendere le novità, innanzitutto in ambito terminologico: processor e controller vengono utilizzati per sostituire i più familiari titolare e responsabile del trattamento: «Ma non è un cambiamento solo di forma. Le responsabilità si verticalizzano verso il controller molto più che nel corrispettivo Titolare ed il controller ha responsabilità dirette e competenze che il regolamento esplicita», ha precisato Alessandro Cecchetti, General Manager. Inoltre, il regolamento esprime in modo univoco tutte le nozioni di “dato personale” includendo anche il nome, la geolocalizzazione e i nickname. Continua Alessandro Cecchetti: «Solo il dato anonimizzato è fuori dall’ambito di applicazione del Regolamento, ma sappiamo che in ambito tecnico è veramente difficile che il dato sia puramente anonimo per uscire dagli adempimenti normativi, in quanto anche con un processo di pseudonimizzazione, i dati isolati vengono assemblati e assegnati velocemente all’identità di una persona».

Uno dei principi cardine del regolamento sono le misure tecniche e organizzative da rendere adeguate ai contesti aziendali: va quindi delineato il flusso che strutturi bene il passaggio dei dati e conservarli per un arco di tempo non eccedente.

Colin Focus DayA questo proposito i partecipanti hanno portato esempi relativi ai database del marketing, specialmente nell’ambito business to consumer: in proiezione del regolamento europeo, dovranno strutturarsi campagne commerciali conformi alla normativa, sanando mancati consensi o adeguando vecchi database.

Privacy by design e by default e l’incidenza sugli investimenti

Le misure tecniche prevedono adempimenti espliciti enunciati nel Regolamento ma anche derivanti dalla logica di processi di aziende molto strutturate. Ad esempio i principi Privacy by design e by default: un prodotto deve essere by design conforme alla normativa. Il controller che introduce il prodotto in azienda deve assicurarsi che esso sia di default conforme al regolamento in azienda. In ipotesi, se il controller compra un proxy (o un qualsiasi software) e lo inserisce in azienda, lo contestualizza nella sua realtà. Ma oltre agli effetti tecnologici ci sono quelli contrattuali che riguardano la scelta del prodotto. La conformità dei software è quindi dirimente anche nella scelta del fornitore. Questo s’impone per tutte le direzioni, non solo l’IT, perché ogni funzione compra un software per i propri utilizzi spesso senza consapevolezza delle implicazioni. L’Avv. Frediani a questo proposito è tornata sull’evidenza della manovra economica che incide sulla scelta del fornitore e del prodotto conforme alla normativa europea e che pone potenzialmente fuori dal mercato tutti quei prodotti che seguono altri ordinamenti: «E’ vero che il Regolamento avrà un tempo che permette alle aziende l’adeguamento, ma l’applicazione dei principi by design e by default incide su scelte di prodotti tecnologicamente validi per una decina di anni, che probabilmente oggi sono conformi e che dopo il regolamento non lo saranno più. Dunque, un’azienda che non vuole compromettere i suoi investimenti deve applicare da subito il regolamento».

Considerazioni analoghe valgono per le scelte di tecnologie Cloud, dove dovranno essere mappati anche tutti i flussi d’informazione con fornitori e sub-fornitori, specialmente nei contesti internazionali che impongono dei trasferimenti di dati a piattaforme di Paesi terzi: chi assume il ruolo d’intermediario deve garantire che tutti gli aspetti di sicurezza e compliance siano stati affrontati.

Il Privacy Impact Assessment (PIA) è lo strumento atto a tener conto degli impatti del trattamento sui diritti dell’interessato e valutare i possibili rischi e risulta particolarmente importante quando si verifica per esempio un caso di “breach”. Le violazioni di dati hanno ripercussioni evidenti in termini di immagine dell’azienda, specialmente nei casi più gravi che comportano obblighi di notifica non solo all’autorità garante ma anche all’interessato, per cui ogni dipendente dovrebbe essere edotto su come evitarle.

Dpo e processi aziendali

Colin Focus DayA conclusione, largo spazio e dibattito sulla designazione del Data Protection Officer, obbligatorio per tutti gli uffici pubblici (tranne i tribunali) e per i privati quando sussistono “trattamenti che richiedono il controllo regolare e sistematico degli interessi su larga scala”: «Ciò rimane ambiguo, ma è da considerare che l’impatto della normativa è talmente ampio che per ogni azienda sarà necessario individuare una risorsa in grado di seguire ogni aspetto del regolamento», ha concluso Cecchetti. E’ evidente l’analogia con l’impianto del D.Lgs 231 e gli Organismi di Vigilanza, non solo per il grado di indipendenza del Dpo, ma anche per come tutto il Regolamento rivolge l’attenzione al processo organizzativo aziendale, focalizzando l’interesse alle policy e agli assetti interni, e designando CIO e IT Manager come i propulsori di un adeguamento sostenibile, vantaggioso e sicuro.

Se gli IT Manager risultano particolarmente sensibili ai temi della sicurezza dei dati, ciò non toglie che il Regolamento debba essere declinato nelle specificità di altri comparti in modo che tutta l’azienda condivida le scelte tecnologiche e partecipi alla definizione dei flussi di lavoro. Appuntamento quindi al prossimo Colin Focus Day del 6 Aprile, per approcciare ed accompagnare altre aziende al passaggio verso il nuovo quadro normativo.

Riproduzione riservata ©

ALTRE NEWS

La ‘dematerializzazione’ dei contratti assicurativi

Ancora aperta la consultazione pubblica sulla proposta di regolamento Ivass concernente la definizione delle misure di semplificazione delle procedure e degli adempimenti nei rapporti contrattuali… Leggi Tutto

Novità SPID: i quattro regolamenti

L’art. 4 del DPCM 24 ottobre 2014 recante “Definizione delle caratteristiche del sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID), nonché… Leggi Tutto

Google Italia indagata per il video sui maltrattamenti

Indagata anche Google Italia per la diffusione del video sul disabile torinese maltrattato dai propri compagni di scuola. I Pm milanesi titolari dell’inchiesta hanno infatti… Leggi Tutto

AziendaSpeech & Eventi

COLIN & PARTNERS

CHI SIAMO

Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI

Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE

Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.