Il mercato ICT si prepari alla Privacy europea
“Il Regolamento europeo sulla data protection segnerà il discrimine tra le aziende sviluppatrici o erogatrici di servizi e prodotti ICT aderenti agli obblighi previsti e quelle che non si faranno trovare pronte alla svolta normativa” un concetto più volte ribadito dall’Avv. Frediani nel corso dell’ultimo Colin Focus Day, l’appuntamento mensile su invito rivolto ad aziende operanti in ambito nazionale ed internazionale che lo scorso mercoledì ha visto protagonista il Top Management di alcune importanti imprese fornitrici di servizi Data Center/Cloud e Società sviluppatrici e distributrici di software applicativi. Lo stesso Garante europeo per la Privacy Giovanni Buttarelli, all’indomani della pubblicazione in Gazzetta Ufficiale del testo del Regolamento, ha più volte espresso il medesimo principio secondo cui “La General Data Protection Regulation non è una normativa che si può improvvisare. Le aziende non devono fare l’errore di aspettare l’ultimo giorno”.
Il Workshop ha evidenziato i punti focali del nuovo Regolamento europeo sulla Data Protection (GDPR), partendo proprio dalla sua posizione di continuità – non di rottura – rispetto alla normativa privacy italiana, evidenziandone successivamente gli aspetti innovativi. Nella pratica i principi della GDPR trovano la propria origine proprio nel D.Lgs. 196/2003 sfociando e potenziandosi ulteriormente nel nuovo quadro normativo: basti pensare agli adempimenti sulla mappatura dei ruoli, attività essenziale per individuare le diverse responsabilità degli attori coinvolti nei processi o le Policy di Data Retention che – nel Regolamento -diventano un obbligo espresso. Frutto dell’evoluzione tecnologica e della metamorfosi del mercato e delle aziende sono invece le misure riferite alla business intelligence piuttosto che alla geolocalizzazione, ancora sconosciuti alla vecchia 196/2003.
Rispetto alla direttiva andata ufficialmente in pensione lo scorso 4 Maggio, tuttavia, l’Avv. Frediani ha sottolineato che “Il Regolamento lascia una grande discrezionalità alle aziende nell’applicazione rispetto ai processi. Quello su cui si focalizza è l’adesione ai principi, la logicità e la coerenza delle misure adottate piuttosto che la loro tassatività”. Di fatto non si parla solo di misure tecniche, ma anche organizzative, la cui prova di adeguatezza dovrà essere dimostrata, e soprattutto dimostrabile, dal Titolare del trattamento. In questa nuova concezione, la privacy diventa un sistema di gestione a tutti gli effetti, sovrapponibile – per fare un esempio concreto – al già noto Modello di Organizzazione 231.
Riferendosi allo sviluppo di soluzioni e prodotti di natura informatica sono stati ampiamente analizzati i principi chiave privacy by design e privacy by default, in particolare i cosiddetti ‘Sette principi della PbD (Privacy by Design)’ emanati a livello tecnico, che – come ha sottolineato Alessandro Cecchetti “Le aziende devono sempre tener presenti, andandoli a conciliare rispetto al business e rispetto ai processi”.
Questo prevede un approccio allo sviluppo dei prodotti, all’erogazione dei servizi e, più in generale, alla pianificazione dei processi, di carattere pratico e trasversale, oltre che consapevole rispetto alle implicazioni in caso di mancata adesione ai sovra citati principi. Impossibile d’altro canto rimanere indifferenti alle sanzioni previste dalla GDPR, fino a 20 milioni di euro e fino al 4% del fatturato globale mondiale annuo in caso di imprese.
L’efficacia di tale modus operandi è garantita anche da strumenti operativi quali Il Privacy Risk Assesment – essenziale per individuare e tracciare un perimetro dei rischi a cui è sottoposto un processo e il Privacy Impact Assessment, un documento, in alcuni casi specifici previsto obbligatoriamente dal Regolamento, contenente accanto alla descrizione sistematica dei trattamenti previsti e delle finalità, valutazioni specifiche rispetto a necessità, proporzionalità e rischi del trattamento nonché le misure di sicurezza e le garanzie per farvi fronte.
La Round Table ha registrato notevole interesse anche in merito al tema dell’ambito territoriale al quale si applica il Regolamento. Il trasferimento dei dati fuori dai confini europei rappresenta uno degli aspetti di maggior rilevanza della nuova normativa, coinvolgendo aziende con sede fuori dai confini europei, ma la cui attività interessa direttamente o indirettamente dati di utenti del Vecchio Continente. Di fatto, per essere introdotti nel mercato europeo, anche i prodotti e i servizi extra-UE dovranno dimostrarsi adeguati alla GDPR.
Alla domanda “Cosa devono fare le aziende per non farsi trovare impreparate all’entrata in vigore del Regolamento prevista per il maggio 2018?” la risposta è “innanzitutto aver raggiunto un livello di adeguatezza rispetto alla normativa pregressa e partire da questo livello per andare a ripensare ai propri processi, alla propria organizzazione e al proprio business nell’ottica del nuovo quadro legislativo europeo”.
Dati l’ampia partecipazione e interesse registrati da parte della aziende sviluppatrici di prodotti, piattaforme e ambienti IT o erogatrici di servizi lato ICT, i medesimi argomenti verranno nuovamente condivisi durante il Colin Focus Day di Luglio.