GDPR: per cambiare, invochiamo la privacy
Ripensamento sostanziale nel modo di salvaguardare i dati personali a beneficio di consumatori e clienti. Il regolamento GDPR è un testo non facile da interpretare e le sanzioni preoccupano. Ma rappresenta per tutti una opportunità di revisione e di efficientamento
Intorno ai temi della Tavola Rotonda dedicata al nuovo regolamento europeo in materia di protezione dei dati personali, in collaborazione con Assicurazioni Generali, Data Manager propone uno speciale approfondimento, focalizzandosi sia sull’aspetto giuridico sia su quello più tecnico. L’obiettivo è anche di allargare virtualmente, attraverso la rivista e il suo sito, la platea della discussione, per prendere il polso del percorso che tutti – dalle ditte individuali alle grandi società – devono affrontare ai fini della compliance prevista dal General Data Protection Regulation. La sensazione generale è che un’azienda su due non abbia un piano strutturato in vista della scadenza di maggio 2018. E soprattutto le più piccole non sono del tutto consapevoli dell’impatto del regolamento. Anche se non lo dichiarano apertamente, molti restano alla finestra per vedere se le sanzioni previste dalla normativa scatteranno come una tagliola oppure no. Le aziende che non si adegueranno alla normativa entro i termini stabiliti saranno passibili di sanzioni che potrebbero arrivare fino al quattro per cento del fatturato. Di certo, se la natura della normativa non fosse autoapplicativa, tutti avrebbero già scommesso sulla proroga del regolamento.
Accountability, risk assessment e “privacy by design”, ruolo del DPO. Come cambiano i paradigmi della protezione dei dati in senso giuridico e tecnico? La tavola rotonda esplora premesse e conseguenze della compliance in materia di tutela di dati personali, ponendo a confronto le prime esperienze implementative delle aziende. Ai panelist è stato chiesto di illustrare come il regolamento GDPR si inserisca nelle strategie di sicurezza, quali ostacoli pone la normativa, quali sono i possibili ruoli di consulenti, system integrator e dei loro strumenti software e metodologici. La norma – che come ha ricordato Alessandro Cecchetti, general manager di Colin & Partners, è entrata in vigore senza necessità di recepimento, trattandosi di “regulation” e non di “directive” – riprende molti dei temi già attuati in passato, creando tuttavia un binomio inscindibile tra misure tecniche e misure organizzative. Il testo – che offre ampi margini di discrezionalità e interpretazione – è al momento, in attesa di schemi di certificazione e codici di condotta che con tutta probabilità non arriveranno prima di due anni.
Una visione di insieme
«Inizialmente – spiega Cecchetti – è stata letta come una normativa molto “cartacea”, che prevede la distribuzione a tappeto di documenti e informative. Non è così e non era così neanche prima: il nuovo regolamento va in direzione della data protection, tanto che tra le misure di sicurezza da adottare si fa riferimento alla 27001, la norma ISO sulla gestione della sicurezza informatica». Ed è proprio questo il punto chiave di una norma che Cecchetti definisce trasversale sia dentro all’azienda sia tra i settori di industria cui si rivolge, un regolamento che non deve essere demandato esclusivamente a figure come il data protection officer, che tra l’altro, è anch’esso una figura già nota. È il modo di concepire la privacy, che cambia completamente. «Eravamo abituati con il decreto 196 del 2003 – il Codice in materia di protezione dei dati personali, poi passato alla storia come Legge sulla privacy – ad alcuni provvedimenti che sostanzialmente erano una lista di cose da fare. Il GDPR non ha questa struttura: siamo passati da una sorta di elenco a un regolamento che ragiona per macro-obiettivi, rimettendo all’azienda il compito di raggiungerli. Spetta a ogni singola organizzazione – in funzione del core business, del modo di trattare i dati e di tanti altri fattori – andare a calare il testo della norma nella propria realtà». Secondo l’esperto di Colin & Partners, è inevitabile che una norma che si applica alla tutela del dato – nella casa farmaceutica come nella banca, nello studio del professionista come nella multinazionale, in Italia come in Belgio o Germania – venga giudicato come «a maglie troppo larghe». Ma questa apparente genericità cela l’obbligo, per il legislatore europeo, di andare a coprire la questione della tutela della riservatezza digitale in un ambito praticamente infinito.
Quest’ultima è una considerazione da tenere presente anche nell’affrontare le misure di sicurezza che il regolamento prevede, introducendo tra l’altro un principio di responsabilità, di “accountability”, in base alla quale le aziende devono dimostrare la consapevolezza sulle misure adottate, ovvero nell’intera gestione del regolamento e della sua applicazione. Di analoghi margini di interpretazione godono le strutture preposte ai controlli, in Italia la Guardia di Finanza. «Fino a oggi, le verifiche sulla compliance duravano da uno a tre giorni e potevano essere svolte sia da un punto di vista documentario sia attraverso un team in cui era presente un esperto tecnico per le valutazioni sui sistemi. Da adesso in poi, la Guardia di Finanza resta, ma a quanto siamo venuti a sapere dai nostri contatti, i controlli potranno durare fino a 5 giorni perché gli esperti devono avere il tempo di capire le logiche con cui il regolamento è stato applicato alle diverse situazioni».
Un testo tutto da interpretare
Esistono già dei criteri generali, delle linee guida da seguire nell’implementare e certificare la compliance? «Le strade per applicare un regolamento sono in genere tre» – risponde Cecchetti di Colin & Partners. «La prima. Leggere la norma e cercare di applicarla al meglio nel proprio contesto aziendale. La seconda. Seguendo degli schemi di certificazione. La terza. Applicando dei codici di condotta. Dai nostri contatti con l’autorità e gli enti certificatori, codici di certificazione e linee guida non saranno disponibili prima di due o tre anni. È un rischio concreto, perché le aziende che hanno già avviato il loro processo di adeguamento rischiano di avere dei disallineamenti rispetto a eventuali future impostazioni, ma al momento non resta che leggere il testo e cercare di applicarlo alla propria organizzazione». Non è un compito banale – avverte Cecchetti. La famosa “accountability”, il fatto di essere chiamati a dimostrare di aver adottato misure efficaci, è stata introdotta proprio perché il regolamento GDPR prevede l’introduzione di misure tecniche e organizzative “adeguate”. «Si passa in altre parole a un binomio inscindibile: diventa cioè inutile adottare misure tecniche molto evolute se sul piano organizzativo non riesco a controllare gli accessi dell’amministratore di sistema ai database, o ai siti in outsourcing, o se lascio aperti gli account dei dipendenti che hanno lasciato l’azienda. Così come non posso avere procedure a prova di bomba se tecnicamente ho una grossa falla». Il GDPR, osserva Cecchetti, equivale in pratica all’obbligo di adottare un sistema gestionale, non prima di aver analizzato le procedure in atto e le peculiarità delle singole aziende, o aver controllato che sul piano tecnico ci siano discrasie con quanto prescritto dal regolamento. Altra importante novità sono i concetti di “privacy by design” e di “privacy by default”. «Entrambi incidono sulla cronologia degli adempimenti – sottolinea Cecchetti – perché il “by design” viene per esempio demandato anche ai fornitori che mettono sul mercato prodotti che hanno un impatto tecnologico, introducendo una precisa co-responsabilità: i fornitori in base al regolamento devono assicurarsi che le loro soluzioni rispettino la “privacy by design” e anche loro dovranno effettuare opportune analisi di conformità». La “privacy by default” – invece – può essere considerata come una responsabilità dell’azienda che acquista determinate soluzioni e le deve impostare. Anche se – avverte Cecchetti – non sempre le reciproche responsabilità sono così chiare: «Pensate allo sviluppo di software congiunto o su commissione, dove le responsabilità sono reciproche». In ogni caso, conclude l’esperto, il problema dei due tipi di privacy va affrontato cronologicamente per primo e deve riguardare anche le soluzioni software già presenti. In altre parole, occorre effettuare una mappatura, tracciare i criteri che rientrano o non rientrano nelle definizioni di “privacy by design” o “by default”, tenendo conto della diversa misura in cui le informazioni personali possono impattare un applicativo: «Un ERP che si limita a tracciare le autenticazioni di chi accede a un magazzino – spiega Cecchetti – non impatta come un CRM che custodisce informazioni molto più dettagliate degli stessi utenti».
Continua a leggere su Data Manager