Realtà e leggende del GDPR: i racconti dei protagonisti
Superata la scadenza del 25 maggio 2018, i dubbi legati alla complessità di applicazione del GDPR non sono ancora tutti chiariti, i tanti timori diffusi sono ancora da provare come fondati. Nel frattempo leggende e narrazioni fantasiose continuano a proliferare, complice la scarsa conoscenza della materia da parte dei media e le loro imprecise e inadeguate, ma anche la percezione diffusa sulla necessità e obbligatorietà di una sua osservanza così come l'assenza di interventi tempestivi per negarne la consistenza o adeguatezza da parte di legislatori e autorità istituzionali.
SoloTablet ospita da sempre contenuti e contributi legati a tematiche tecnologiche con effetti reali sulla vita individuale e sociale delle persone. Il 2018 sarà ricordato per l’entrata in vigore del GDPR e l’insorgere di numerose problematiche, riflessioni e iniziative ad esso collegate.
L’implementazione del GDPR in Italia ha evidenziato numerosi aspetti ed elementi, associati alla riservatezza del dato e al diritto alla privacy del cittadino europeo, non ancora perfettamente compresi e non sempre opportunamente e attentamente valutati da aziende e organizzazioni relativi alla sicurezza e alla privacy ma anche all'implementazione della normativa in azienda. Con l'intenzione di verificare se e quanto questa percezione sia veritiera e valida abbiamo deciso di intervistare alcuni dei protagonisti del GDPR italiani: DPO (Data Protection Officer), consulenti, CIO, studi legali, ecc.
Questa intervista vede la partecipazione di Stefano Bendandi, DPO/Consulente di Pescara che ringraziamo per avere accettato la proposta di SoloTablet per una riflessione condivisa sul GDPR.
A pochi mesi dall'entrata in vigore del GDPR in Italia ci potrebbe raccontare quale è stato il percorso che secondo lei ha caratterizzato la sua implementazione in Italia? L'impressione che ne abbiamo derivato la possiamo riassumere in ritardi dettati da scarsa conoscenza e assenza di senso dell'urgenza, in ampi spazi di deroga lasciati al legislatore nazionale che hanno legittimato i ritardi e limitato gli interventi ufficiali e in molta confusione che persiste ancora ora. Lei cosa ne pensa?
L’impressione che ho avuto è che l’approccio al GDPR sia stato governato da una sottovalutazione della portata del regolamento e delle sue effettive implicazioni, probabilmente causata da ignoranza o mancanza di sensibilizzazione sul tema.
Questo può spiegare perché, per quasi due anni, la questione del GDPR sia stata accantonata da parte delle aziende, per poi scoppiare come una bolla mediatica negli ultimi mesi precedenti la data del 25 maggio 2018. Tuttora c’è ancora molta confusione sul tema e una specie di attendismo, soprattutto nelle aziende di dimensioni più piccole, che costituiscono però la quota maggior del tessuto imprenditoriale italiano.
Le molteplici interpretazioni del GDPR obbligano a fare chiarezza su molti aspetti di una normativa, curata e puntigliosa ma anche complessa e aperta a possibili letture fuorvianti o sbagliate. In particolare maggiore chiarezza sarebbe necessaria su quali siano i destinatari aziendali di alcune norme rispetto ad esempio alle nomine dei Data Protection Officer. Secondo lei quali sono gli ambiti sui quali una maggiore chiarezza potrebbe ancora essere fatta?
Un ambito sul quale penso possa essere fatta maggiore chiarezza è quello relativo alla sicurezza dei dati e, in particolare, all’analisi dei rischi e alla valutazione d’impatto. Un altro è quello della nomina di responsabili esterni del trattamento.
A chi potrebbe essere utile? Una maggiore chiarezza potrebbe essere utile per sensibilizzare aziende ed organizzazioni sull’importanza di una buona analisi del rischio come base per l’adozione di misure di sicurezza coerenti ed efficaci. Lo stesso dicasi per la valutazione d’impatto: le aziende hanno la propensione ad effettuare cambiamenti tecnologici, senza però valutare attentamente l’impatto che tali cambiamenti possono avere sui diritti e le libertà degli interessati.
Anche la questione della nomina dei responsabili esterni dei trattamenti è particolarmente importante in relazione al fatto che aziende ed organizzazioni italiane ricorrono spesso a forme di outsourcing tecnologico, ma non curano abbastanza la questione della responsabilità dei terzi fornitori.
Dalla lettura del regolamento europeo si evince che molte delle formulazioni sono condizionate a scelte che devono essere fatte a livello nazionale. E' come se il legislatore europeo avesse deciso di evitare l'imposizione di precetti o ordini precisi pur avendo definito un framework di riferimento stringente e a suo modo vincolante. Secondo lei quanto è vincolante il GDPR a livello nazionale e quali spazi di manovra hanno i legislatori locali e le realtà che devono implementarlo?
Il senso della vita
Con riferimento ai legislatori locali penso che il regolamento sia meno vincolante di una direttiva europea oggetto di recepimento. Con riferimento, invece, a chi deve attuarlo il GDPR lascia un certo spazio di manovra discrezionale, sia pure sulla base del rispetto di requisiti basilari.
Il 25 maggio 2018 ha marcato l'entrata in vigore del GDPR ma ha anche riempito di email le caselle postali di milioni di cittadini europei alla ricerca del consenso sull'uso dei dati e della reimpostazione della privacy individuale. Il consenso richiesto su tutti i dati è però una forzatura del GDPR che non impone vincoli su tutti i trattamenti. Quali sono i dati che vanno legati al consenso e in che modo si intersecano con quello che in giurisprudenza è chiamato legittimo interesse?
Consenso e legittimo interesse sono due aspetti molto diversi: il primo presuppone una scelta libera e consapevole dell’interessato, il secondo una scelta discrezionale fatta dal titolare del trattamento. Non penso siano intersecabili.
Penso comunque che il consenso dell’interessato costituisca la condizione principale di liceità del trattamento, laddove configurabile ovviamente, perché presuppone una partecipazione più attiva e consapevole dell’interessato rispetto al trattamento dei suoi dati.
I media non sembrano avere dato troppa attenzione alla scadenza del 25 maggio 2018. Lo hanno fatto per una sottovalutazione del GDPR o perché tutto è filato liscio e non ci sono stati fatti di cronaca meritevoli di prime pagine? Eppure il panico poteva essere una conseguenza e una causa di cattive esperienze. Quello che è certo è che come il Millennium Bug anche il GDPR non ha marcato alcuna fine del mondo ma solo l'inizio di una nuova era. Secondo lei quante sono le realtà che hanno travalicato il 25 maggio senza essere pronte e cosa possono fare, ad esempio collaborando con aziende partner, per porvi rimedio? In fondo anche la stessa Commissione Europea è in ritardo su molte adempienze e tanto meno il legislatore nazionale!
Secondo me i media hanno dato troppa attenzione alla data del 25 maggio, ma lo hanno fatto troppo tardi. Le realtà che hanno superato questa data senza essere in regola sono abbastanza. Innanzitutto, possono definire un piano di adeguamento perché anche la protezione dei dati personali, come la sicurezza delle informazioni, è in realtà un processo continuo di evoluzione. E poi possono supportare il processo con evidenze, anche di natura documentale, per rispondere al principio di responsabilità (“accountability”) che il regolamento ha introdotto.
Cosa dovrebbe fare un'azienda che non ha ancora implementato il GDPR? Dovrebbe accelerare per farlo per timore delle sanzioni o darsi tutto il tempo che serve per comprenderne l'essenza in termini di come devono essere trattati i dati e soluzioni utili e/o necessarie per la loro protezione ma anche per gestire le criticità organizzative e operative?
Dovrebbe definire innanzitutto un piano di adeguamento. Ma non essere guidata soltanto dallo spauracchio delle sanzioni, per quanto rilevanti esse siano. A mio avviso una decisione di attuare il GDPR solo per timore delle sanzioni può rivelarsi fallimentare nel lungo periodo.
Bisogna darsi il tempo per assimilare il GDPR e poi trovare nello stesso anche l’opportunità per ottimizzare i processi e l’uso delle risorse aziendali e per acquisire una maggior consapevolezza dell’importanza del patrimonio informativo aziendale e della sua protezione. E’ ora di fare un passo avanti e non vedere più nell’adeguamento alla normativa sulla privacy soltanto una fonte di costi e di problemi. Sempre più ricerche evidenziano in realtà una correlazione tra un approccio aziendale orientato alla protezione dei dati personali e alla trasparenza e chiarezza e la fiducia dei propri clienti.
Infine un'ultima domanda. Su molti media americani si è parlato di GDPR come killer della democrazia di Internet per i numerosi vincoli che pone all'uso dei dati e per avere causato la messa offline di numerose testate o risorse web. Il GDPR sembra essere percepito come clava nei confronti dei produttori americani di piattaforme tecnologiche e come tale capace di mettere in crisi la Rete. Lei cosa ne pensa?
Penso che sia un punto di vista soprattutto americano e non lo condivido. Il GDPR è una “clava” se visto solo nella prospettiva di sviluppo del business. In realtà introduce dei correttivi per un contemperamento tra esigenze del business e tutela dei diritti umani. Non è la difesa della privacy e la ricerca del consenso la dimostrazione di una democrazia migliore o quanto meno della sua interpretazione europea?
Per concludere ci può raccontare la sua proposizione sul GDPR e sui servizi che compongono il portafoglio d'offerta della sua azienda/consulenziale?
La mia è una attività di natura professionale più che aziendale. Offro servizi di consulenza e formazione sul GDPR e sul processo di adeguamento al regolamento. L’offerta è rivolta ad aziende ed organizzazioni di tutte le dimensione, di natura prevalentemente privata. Mi avvalgo anche della collaborazione di aziende tecnologiche con le quali ho stretto rapporti di partnership per la proposizione di servizi in grado di coprire le esigenze della clientela.