La Privacy diventi una priorità aziendale in modo tangibile
Si è parlato ancora di privacy e GDPR a Firenze a fine giugno, durante la Round Table Colin & Partners, per sottolineare l’importanza dell’evoluzione in atto, soprattutto per It Manager e Legal di importanti imprese fornitrici di servizi Data Center/Cloud e Società sviluppatrici e distributrici di software applicativi toscane.
Il rapido adeguamento imposto dal Nuovo Regolamento Europeo per la Protezione dei Dati (GDPR), recentemente pubblicato in Gazzetta Ufficiale, grava sugli assetti aziendali nei termini di adozione di radicali cambiamenti. Si pensi, in particolare, al settore dell’Information Communications Technology (ICT). Il rigore della GDPR comporta una preparazione ovviamente impellente nonché onerosa in misura di tempo ed energie. Tuttavia si riscontra ancora una scarsa sollecitudine nel familiarizzare con le nuove regole e, soprattutto, nel considerare l’entità dell’impianto sanzionatorio previsto, completamente rinnovato e particolarmente severo. Non è male ricordare che le sanzioni amministrative potranno arrivare fino a 20 milioni di euro o fino al 4% del fatturato globale mondiale annuo e che il tempo a disposizione per adeguarsi alla normativa è solo di due anni.
“Non si commetta l’errore di credere che l’implementazione di nuovi codici di condotta o policy di data retention per la conservazione del dato personale escludano dall’applicazione di tali sanzioni”: anticipa Marco Parretti, Consultant Colin & Partners nella valutazione dell’irrigidimento del nuovo quadro normativo. “Occorre pensare già da ora agli impatti che tali previsioni rifletteranno sui contratti di fornitura di beni e servizi ICT” ricorda più volte insieme ad Elisa Fontanelli, Consultant Colin & Partners.
Non stupisce che i relatori scelgano di parlare subito delle sanzioni previste, senza tralasciare considerazioni apparentemente ovvie relative, ad esempio, alla dimensione aziendale o a gruppi multinazionali la cui attività interessa i dati di utenti del Vecchio Continente anche al di fuori dei suoi confini. Restano anche alcuni dubbi come quelli relativi all’applicazione da parte degli stati membri di sanzioni penali ancora non quantificabili.
Citato poi anche un caso che incrocia in sé ‘il vecchio e il nuovo’: il Responsabile non è più esente dall’obbligo di risarcimento del danno eventualmente patito dall’interessato, ma possono insorgere in capo allo stesso delle responsabilità nel caso violi disposizioni a lui specificamente dirette ed al pari del Titolare dell’impresa può essere chiamato a saldarlo.
Pertanto, la continuità tra la GDPR e il D.Lgs. 196/2003 della normativa privacy italiana fa da premessa alla Round Table. Si considerino innanzitutto gli attuali e specifici provvedimenti del Garante privacy che, se non in contrasto con il nuovo quadro normativo, rimarranno in vigore per i prossimi due anni. Lo stesso vale per la conditio sine qua non per cui il Titolare aziendale deve adottare misure tecniche adeguate alla tutela dei dati personali. Tra queste, la data recovery e la capacità di assicurare continua riservatezza, integrità, disponibilità e resilienza dei sistemi informativi e dei servizi che trattano i dati. La procedura per provare, verificare e valutare l’efficacia delle misure applicate dal Titolare, anche in relazione a quanto disposto dalla GDPR, provocherà un diverso impatto nella cifratura dei dati personali e nelle attività di monitoraggio relative.
Le novità portate dalla normativa europea sono conseguenti all’evoluzione tecnologica ed alla metamorfosi del mercato e delle aziende, specie di quelle riferite alla business intelligence. Si cominci considerando come la mappatura dei ruoli e quindi, in termini di gestione privacy, l’individuazione delle diverse responsabilità degli attori coinvolti, diventino espressamente obbligatorie. Si pensi poi al concetto di ‘garanzia’: all’adeguatezza delle misure adottate dal Titolare – misure ora anche organizzative – deve inevitabilmente seguire la dimostrazione che il trattamento sia conforme alla GDPR. Dunque l’accountability. Da non dimenticare poi la pseudonimizzazione del dato personale: una previsione obbligatoria che i Titolari dovranno adottare. Questo è il fulcro del Nuovo Regolamento Europeo sulla Data Protection, la tutela dell’interessato in quanto persona fisica, concetto che i relatori non si sono stancati di ribadire agli intervenuti.
Tra i nuovi adempimenti si approfondiscono l’obbligo di predisposizione da parte del Titolare e del Responsabile – quest’ultimo, si evidenzia, impegnato contrattualmente dal Titolare ai fini dell’accountability – di un registro delle attività di trattamento dei dati personali. E l’obbligo di notifica seguente a data breach, obbligo che, preme sottolineare, nella vecchia normativa interessa solo particolari casi.
Si è premesso quanto sia problematico e indifferibile l’adeguamento alla GDPR per il settore di sviluppo di soluzioni e di prodotti di natura informatica. Ai Titolari sarà richiesta particolare attenzione sui contratti stipulati con i Fornitori e con i Responsabili – soprattutto nel caso di trattamenti su commissione – che dovranno disciplinare anche i termini di data retention e le modalità di cancellazione sicura nel caso si interrompano i rapporti commerciali. Nondimeno i Fornitori dovranno dimostrarsi compliant alla normativa e, qualora il prodotto/servizio risulti non conforme, ne saranno ritenuti corresponsabili al pari del Titolare. Pertanto, durante la Round Table, sono stati analizzati i principi privacy by design e privacy by default. Tra i fondamenti della GDPR, se accuratamente tenuti presenti dal management aziendale, conciliandoli al business e ai processi, la privacy by design e la privacy by default consentono a tutti gli attori sovra citati di essere in linea con la normativa.
È inevitabile dunque aspettarsi da parte dei Fornitori di soluzioni ICT un approccio allo sviluppo dei prodotti, al mercato e alla pianificazione dei processi differente; ma ciò costituisce anche l’occasione per analizzare il proprio operato alla luce dei nuovi obblighi, e garantire al Cliente/Committente una compliance normativa alle origini del rapporto da instaurare o rinnovare, nonché di accrescere la propria competitività sul mercato.
In conclusione, conformemente alla rivoluzione derivante l’applicazione del Nuovo Regolamento Europeo sulla Data Protection, e maturando coscienza critica non tanto sulla tassatività di esso quanto sull’adesione ai principi e sulla logicità e coerenza delle misure adottate, la tutela del dato personale deve diventare una priorità all’interno di un’impresa. Sin dall’inizio del processo di compliance, la privacy deve essere integrata alla gestione aziendale e diventarne una funzione primaria ed esemplare.
Come fare? Acquisita una certa adeguatezza rispetto alla normativa pregressa, si ripensi ai processi, all’organizzazione e al business aziendale nell’ottica del nuovo quadro legislativo europeo.
