Realtà e leggende del GDPR applicato
Superata la scadenza del 25 maggio 2018, i dubbi legati alla complessità di applicazione del GDPR non sono ancora tutti chiariti, i tanti timori diffusi sono ancora da provare come fondati. Nel frattempo leggende e narrazioni fantasiose continuano a proliferare, complice la scarsa conoscenza della materia da parte dei media e le loro imprecise e inadeguate, ma anche la percezione diffusa sulla necessità e obbligatorietà di una sua osservanza così come l'assenza di interventi tempestivi per negarne la consistenza o adeguatezza da parte di legislatori e autorità istituzionali.
SoloTablet ospita da sempre contenuti e contributi legati a tematiche tecnologiche con effetti reali sulla vita individuale e sociale delle persone. Il 2018 sarà ricordato per l’applicabilità del GDPR e l’insorgere di numerose problematiche, riflessioni e iniziative ad esso collegate. L’implementazione del GDPR in Italia ha evidenziato numerosi aspetti ed elementi di criticità. Tutti associati alla tutela, alla riservatezza del dato e al diritto alla privacy del cittadino europeo. Elementi relativi alla sicurezza e alla privacy ma anche all'implementazione della normativa in azienda, non ancora perfettamente compresi, così come non sempre opportunamente e attentamente valutati, da parte di aziende e organizzazioni, private e pubbliche.
Con l'intenzione di verificare se e quanto questa percezione sia veritiera e valida abbiamo deciso di intervistare alcuni dei protagonisti del GDPR italiani: DPO (Data Protection Officer), consulenti, CIO, studi legali, ecc. Questa intervista vede la partecipazione dell’avv. Andrea Maria Mazzaro, consulente nonché nominato DPO da un ente pubblico che ringraziamo per avere accettato la proposta di SoloTablet per una riflessione condivisa sul GDPR.
Buongiorno avv. Andrea Maria Mazzaro, ci può raccontare qualcosa di lei e della sua proposizione in ambito GDPR?
Buongiorno e grazie a voi per il coinvolgimento.
Mi occupo di compliance e modelli organizzativi per le PMI da diversi anni collaborando anche con Università e Istituti per la formazione sul tema della protezione dei dati e con all’attivo alcune pubblicazioni.
A pochi mesi dall’applicabilità del GDPR in Italia ci potrebbe raccontare quale è stato il percorso che secondo lei ha caratterizzato la sua implementazione in Italia? L'impressione che ne abbiamo derivato la possiamo riassumere in ritardi dettati da scarsa conoscenza e assenza di senso dell'urgenza, in ampi spazi di deroga lasciati al legislatore nazionale che hanno legittimato i ritardi e limitato gli interventi ufficiali e in molta confusione che persiste ancora ora. Lei cosa ne pensa?
Confermo come il Regolamento europeo 679/2016 abbia rappresentato un vero e proprio terremoto nel panorama degli adempimenti rivolti alle aziende, nonché alla pubblica amministrazione.
Effettivamente, per lo più le aziende si sono mosse molto a ridosso della scadenza del 25 maggio e l’urgenza nell’adeguamento ha caratterizzato l’approccio al GDPR. Complice è stato anche il ritardo nella pubblicazione del Decreto di adeguamento pubblicato in Gazzetta Ufficiale, dopo un primo rinvio, solamente il 4 settembre 2018.
Le molteplici interpretazioni del GDPR obbligano a fare chiarezza su molti aspetti di una normativa, curata e puntigliosa ma anche complessa e aperta a possibili letture fuorvianti o sbagliate. In particolare maggiore chiarezza sarebbe necessaria su quali siano i destinatari aziendali di alcune norme rispetto ad esempio alle nomine dei Data Protection Officer. Secondo lei quali sono gli ambiti sui quali una maggiore chiarezza potrebbe ancora essere fatta? A chi potrebbe essere utile?
Sarà necessario fare riferimento alle linee guida che ancora attendiamo su molti aspetti del GDPR.
Il primo punto a cui suggerisco di prestare attenzione è il cambio di approccio della normativa: essendo la gestione dei dati personali oramai una normativa che richiede la valutazione del rischio, e ponendo al centro appunto la protezione del dato della persona fisica, un assessment congiunto legale e tecnico diventa indispensabile per l’avvio di un percorso efficace. Questo vale per qualsiasi realtà che tratta i dati personali: dall’ospedale al dentista singolo, dalla grande azienda del settore delle telecomunicazioni alla piccola società che si occupa di marketing.
Dalla lettura del regolamento europeo si evince che molte delle formulazioni sono condizionate a scelte che devono essere fatte a livello nazionale. E' come se il legislatore europeo avesse deciso di evitare l'imposizione di precetti o ordini precisi pur avendo definito un framework di riferimento stringente e a suo modo vincolante. Secondo lei quanto è vincolante il GDPR a livello nazionale e quali spazi di manovra hanno i legislatori locali e le realtà che devono implementarlo?
Il GDPR, trattandosi di un Regolamente e non una Direttiva, è immediatamente vincolante. E’ vero però – come giustamente rilevato da molti – che la tecnica legislativa lo fa apparire più come una Direttiva rafforzata. Ad ogni buon conto, gli spazi lasciati aperti dal GDPR trovano oggi (finalmente) risposta con il Decreto Legislativo 10 agosto 2018, n. 101 intitolato “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). “
Il senso della vita
Il 25 maggio 2018 ha marcato l’applicabilità del GDPR ma ha anche riempito di email le caselle postali di milioni di cittadini europei alla ricerca del consenso sull'uso dei dati e della reimpostazione della privacy individuale. Il consenso richiesto su tutti i dati è però una forzatura del GDPR che non impone vincoli su tutti i trattamenti. Quali sono i dati che vanno legati al consenso e in che modo si intersecano con quello che in giurisprudenza è chiamato legittimo interesse? Quali sono le vulnerabilità del GDPR in merito alla gestione del consenso, ad esempio riferito all'utilizzo dei cookies?
La maggior parte delle e-mail da noi ricevute non avevano ragione di essere inviate. Infatti, la ricerca del consenso da parte dei Titolare era giustificata solamente nei casi in cui non fosse stato richiesto in precedenza o se il trattamento aveva subito variazioni rispetto al precedente consenso fornito dall’interessato. Ma per lo più, le informative inviate non avrebbero dovuto richiedere una azione da parte dell’interessato in quanto i trattamenti a cui facevano riferimento erano leciti in quanto necessari per adempiere un obbligo legale o per l’esecuzione di un contratto.
Il consenso è invece necessario in determinati casi previsti dal Regolamento come per il trattamento dei dati particolari (ex dati sensibili), quali dati che rivelino l’origine razziale, le opinioni politiche, le convinzioni religiose, i dati biometrici, lo stato di salute o l’orientamento sessuale di una persona. E’ altresì richiesto per la profilazione. Quanto ai cookies bisogna ricordare come la regolamentazione principalmente derivi dalla Direttiva E-privacy, modificata poi successivamente con la Direttiva 2009/136.
I media non sembrano avere dato troppa attenzione alla scadenza del 25 maggio 2018. Lo hanno fatto per una sottovalutazione del GDPR o perché tutto è filato liscio e non ci sono stati fatti di cronaca meritevoli di prime pagine? Eppure il panico poteva essere una conseguenza e una causa di cattive esperienze. Quello che è certo è che come il Millennium Bug anche il GDPR non ha marcato alcuna fine del mondo ma solo l'inizio di una nuova era. Secondo lei quante sono le realtà che hanno travalicato il 25 maggio senza essere pronte e cosa possono fare, ad esempio collaborando con aziende partner, per porvi rimedio? In fondo anche la stessa Commissione Europea è in ritardo su molte adempienze e tanto meno il legislatore nazionale!
Ritengo che le grandi aziende abbiano intrapreso il percorso molto prima della scadenza del 25 maggio 2018. Ma la maggioranza delle PMI non si è adeguata per tempo, complice anche la disinformazione: la proroga del Decreto per l’adeguamento della normativa nazionale inizialmente prevista per il 21 maggio è stata interpretata come proroga per l’applicabilità del GDPR dimenticando come lo stesso fosse in vigore già dal 2016 e in realtà “solamente” applicabile dal 25 maggio 2018.
Cosa dovrebbe fare un'azienda che non ha ancora implementato il GDPR? Dovrebbe accelerare per farlo per timore delle sanzioni o darsi tutto il tempo che serve per comprenderne l'essenza in termini di come devono essere trattati i dati e soluzioni utili e/o necessarie per la loro protezione ma anche per gestire le criticità organizzative e operative?
Ritengo che oggi non ci sia più tempo né giustificazioni per poter attendere. Le sanzioni sono un deterrente, ma l’adeguamento consente anche di evitare attriti con gli interessati rappresentati principalmente da clienti e dipendenti. Comprendere l’importanza del valore del dato personale nella società contemporanea dovrebbe essere un pre-requisito, ma non tutti hanno interesse ad approfondire il tema: proprio per questo vengono introdotte le sanzioni.
Poi il campo dovrebbe ampliarsi a tutti i dati di un’azienda: il vero valore – e il futuro – è rappresentato dalla gestione dei dati di clienti, fornitori, dipendenti, ma non solo dei dati personali: anche i dati in generale quindi dati tecnici, commerciali e know-how.
Infine un'ultima domanda. Su molti media americani si è parlato di GDPR come killer della democrazia di Internet per i numerosi vincoli che pone all'uso dei dati e per avere causato la messa offline di numerose testate o risorse web. Il GDPR sembra essere percepito come clava nei confronti dei produttori americani di piattaforme tecnologiche e come tale capace di mettere in crisi la Rete. Lei cosa ne pensa? Non è la difesa della privacy e la ricerca del consenso la dimostrazione di una democrazia migliore o quanto meno della sua interpretazione europea?
Questi temi sono sempre difficili da affrontare. E’ vero che alcune aziende hanno deciso di non offrire i servizi nel mercato europeo in quanto anti-economico rispetto ai costi di adeguamento alla normativa.
Ma oramai il cambio di passo è epocale: la tecnologia consente di raccogliere informazioni, dati e notizie su di noi che una volta difficilmente potevano essere raccolti con tale velocità e diffusi con una ampiezza territoriale che si estende al globo.
La tutela del dato è la tutela della persona fisica. Che ci piaccia o no siamo fatti di dati: un nome, un indirizzo, un codice fiscale, un numero di scarpe, un colore degli occhi, un numero di carta di credito; e spesso gli interlocutori restano dei dati senza assumere la concretezza della persona fisica: si pensi all’e-commerce dove i clienti sono dei dati inseriti in un form. Tutelare i dati vuol dire aver cura dei propri clienti in questi casi.
Per concludere ci può raccontare la sua proposizione sul GDPR e sui servizi che compongono il portafoglio d'offerta della sua azienda/consulenza?
Coerentemente con quanto prevede il GDPR, da parte nostra abbiamo pensato a un servizio integrato che veda coinvolti i legali con i tecnici informatici e gestionali. Solo in questo modo si potrà adempiere integralmente alle previsioni del Regolamento e realizzare il Modello Organizzativo che consenta la tutela dei diritti degli interessati e la realizzazione delle misure tecniche e organizzative a loro protezione. Pertanto, l’attività è suddivisa in 3 fasi: audit; implementazione delle misure documentali e tecniche necessarie e infine realizzazione del modello organizzativo che potrà essere integrato con gli altri modelli esistenti (231/01, 81/01, antiriciclaggio e anche alle procedure ISO).