Realtà e leggende del GDPR applicato
Superata la scadenza del 25 maggio 2018, i dubbi legati alla complessità di applicazione del GDPR non sono ancora tutti chiariti, i tanti timori diffusi sono ancora da provare come fondati. Nel frattempo leggende e narrazioni fantasiose continuano a proliferare, complice la scarsa conoscenza della materia da parte dei media e le loro imprecise e inadeguate, ma anche la percezione diffusa sulla necessità e obbligatorietà di una sua osservanza così come l'assenza di interventi tempestivi per negarne la consistenza o adeguatezza da parte di legislatori e autorità istituzionali.
SoloTablet ospita da sempre contenuti e contributi legati a tematiche tecnologiche con effetti reali sulla vita individuale e sociale delle persone. Il 2018 sarà ricordato per l’applicabilità del GDPR e l’insorgere di numerose problematiche, riflessioni e iniziative ad esso collegate. L’implementazione del GDPR in Italia ha evidenziato numerosi aspetti ed elementi di criticità. Tutti associati alla tutela, alla riservatezza del dato e al diritto alla privacy del cittadino europeo. Elementi relativi alla sicurezza e alla privacy ma anche all'implementazione della normativa in azienda, non ancora perfettamente compresi, così come non sempre opportunamente e attentamente valutati, da parte di aziende e organizzazioni, private e pubbliche.
Con l'intenzione di verificare se e quanto questa percezione sia veritiera e valida abbiamo deciso di intervistare alcuni dei protagonisti del GDPR italiani: DPO (Data Protection Officer), consulenti, CIO, studi legali, ecc.
Questa intervista vede la partecipazione di Gianrico Gambino, DPO/Consulente Privacy di GFConsul che ringraziamo per avere accettato la proposta di SoloTablet per una riflessione condivisa sul GDPR.
Buongiorno Dott. Gambino, ci può raccontare qualcosa di lei e della sua proposizione in ambito GDPR?
Buongiorno a tutti i lettori di SoloTablet e grazie per il cortese invito, la mia esperienza è caratterizzata dalla multiformità delle competenze acquisite nel corso di questi primi venti anni lavorativi: nasco come programmatore, divento grafico per poi un po’ forzosamente diventare tecnico informatico, quindi amministratore di rete, fino a diventare via via sempre più specializzato in sistemi editoriali e di publishing digitale per ritornare - circa un anno fa - nel mondo privacy o meglio data protection. La mia avventura nel mondo e nell’ambito privacy è suddivisa in due tronconi. Il primo relativo agli anni dell’entrata in vigore della 196, caratterizzati da una parola d’ordine e cioè rinvio. La seconda appunto a partire da un anno fa circa con lo studio del GDPR e di tutto il contorno. Mi è piaciuto talmente da dedicarmi a questo ambito completamente e mettermi in proprio con il valido aiuto della mia socia, la dott.sa Miriam Facchini. In questi mesi sono riuscito con gran soddisfazione e non poca fatica a mettere assieme due certificazioni la UNI 11697:2017 e la tedesca DAKKS.
A pochi mesi dall'applicabilità in vigore del GDPR in Italia ci potrebbe raccontare quale è stato il percorso che secondo lei ha caratterizzato la sua implementazione in Italia? L'impressione che ne abbiamo derivato la possiamo riassumere in ritardi dettati da scarsa conoscenza e assenza di senso dell'urgenza, in ampi spazi di deroga lasciati al legislatore nazionale che hanno legittimato i ritardi e limitato gli interventi ufficiali e in molta confusione che persiste ancora ora. Lei cosa ne pensa?
Ritengo che la responsabilità nel cronico ritardo che affligge l’Italia in questo genere di situazioni sia innanzitutto culturale. Siamo da sempre abituati a ragionare un po’ all’italiana e il primo a farlo è lo Stato che in due anni non è riuscito a promulgare una legge di armonizzazione, per poi fare a produrre un decreto legislativo, il recente 101, dalle caratteristiche che potremmo definire estremamente complesso.
A questo tratto va aggiunto anche il tentativo di trovare l’inganno alla legge, la convinzione che tanto questa legge è solo per i big data e a noi non interessa, o peggio è una delle solite buffonate fatte per rubare soldi a chi lavora. Questi approcci (inutile dire del tutto errati e fuorvianti) hanno portato a sottostimare l’impatto di questa normativa sulla quotidianità, e qui di nuovo mi permetto sommessamente di affermare che il nostro popolo è mediamente afflitto da una scarsa conoscenza delle leggi (che invece l’ignoranza non l’ammettono).
Ecco, questa prospettiva nostrana ha fatto erroneamente pensare che la normativa sulla protezione dei dati non ci riguardasse, salvo poi lamentarci se le compagnie telefoniche ci assillano venti volte al giorno per proporci qualsiasi offerta. Proprio dal quotidiano, dal non mettere dei consensi a caso su qualsiasi cosa, da tutta questa attenzione penso che si possa iniziare a capire l’importanza dei dati personali. Purtroppo questa urgenza in Italia si sente solo dopo che il consenso lo si è dato.
Stile quello descritto poco più su che ha contraddistinto una fetta non indifferente dell’imprenditoria che ha patito questa legge che la costringe a mettere mano al portafogli (e qui potremmo aprire un capitolo sugli investimenti nel settore informatico e più specificatamente in quello della sicurezza informatica nelle nostre imprese). Ahimè, la sicurezza informatica costa e per l’informatica in Italia si spende se proprio non se ne può fare a meno.
Le molteplici interpretazioni del GDPR obbligano a fare chiarezza su molti aspetti di una normativa, curata e puntigliosa ma anche complessa e aperta a possibili letture fuorvianti o sbagliate. In particolare maggiore chiarezza sarebbe necessaria su quali siano i destinatari aziendali di alcune norme rispetto ad esempio alle nomine dei Data Protection Officer. Secondo lei quali sono gli ambiti sui quali una maggiore chiarezza potrebbe ancora essere fatta? A chi potrebbe essere utile?
Una normativa responsabilizzante, fondata sul concetto di accountability. A noi sconosciuto, una normativa tutta anglosassone in questo modo di proporsi e che per noi risulta aliena proprio nel suo non dire, nel suo lasciarci liberi di decidere prendendoci delle responsabilità. Come tutte le cose è di sicuro perfettibile, migliorabile.
In questo lo European Data Protection Board, che ha recentemente preso il posto dello storico Working Party 29, sta compiendo un buon lavoro di educazione e di chiarificazione, sebbene anche loro siano in un certo affanno.
Ma venendo allo specifico della sua domanda, il DPO questo strano animale mitologico, chi deve metterselo in casa? Sicuramente le zone grigie sono ampie.
Sappiamo con assoluta certezza che le Pubbliche Amministrazioni e gli enti le cui funzioni siano in qualche maniera paragonabili ad esse ne hanno l’obbligo (vedere alla voce scuole private), ma gli altri? Qui devo ahimè constatare che alcuni concetti vanno a tutt’oggi resi meno fumosi: mi riferisco precipuamente al concetto di “larga scala” che a mio parere è quello che più di ogni altro ha delle ricadute pratiche ed è il meno chiaro.
Il senso della vita
Il WP29 in questo non è stato di aiuto nel suo documento WP243, nel quale lascia la definizione di questa fattispecie a dire poco vaga. E quindi? Beh, io parto sempre dai trattamenti. Cara azienda di cosa ti occupi? Che genere di dati sei solita gestire? E come li tratti? Non pensiate che le aziende manifatturiere si pongano al di fuori della necessità di avere un DPO, anzi, per come è impostata oggi una catena di montaggio, per come è informatizzata attraverso la business intelligence possiamo conoscere del nostro operaio quanti pezzi produce, in che tempi, con quali scarti, come usa un muletto, e via discorrendo.
Pertanto non è necessario compiere peripezie sul web raccogliendo dati di ogni sorta a ogni clic di mouse per avere bisogno di un DPO. E vengo a rispondere alla ultima parte della domanda, a chi può servire un Responsabile per la Protezione dei Dati? Qui mi allargo, e affermo a quasi tutti. Forse è il tecnico che è in me, ma ritengo che la figura del DPO sia veramente una garanzia per tutti, per gli interessati che finalmente hanno un interlocutore preparato cui rivolgersi, per le aziende che si mettono in casa un professionista in grado di dare dei consigli sensati in termini di protezione dei dati (ho visto gente consigliare corsi di formazione sul GDPR a dei panettieri e non a quelli che gestiscono la panetteria eh, ma a quelli che impastano). Un DPO in generale è una guida, un aiuto, perché negarselo? Il terreno data protection è insidiosissimo, caratterizzato (specie informaticamente) da continue e costanti rivoluzioni.
Voi sul K2 ci andreste soli o vi fareste guidare da uno che sappia condurvi sani e salvi?
Dalla lettura del regolamento europeo si evince che molte delle formulazioni sono condizionate a scelte che devono essere fatte a livello nazionale. E' come se il legislatore europeo avesse deciso di evitare l'imposizione di precetti o ordini precisi pur avendo definito un framework di riferimento stringente e a suo modo vincolante. Secondo lei quanto è vincolante il GDPR a livello nazionale e quali spazi di manovra hanno i legislatori locali e le realtà che devono implementarlo?
Ritengo che in tal senso il legislatore europeo si sia comportato con estrema saggezza e prudenza, non si poteva pensare a una legge che onnicomprensiva, in grado di penetrare realtà nazionali tra loro estremamente differenti anche per cultura giurisprudenziale. L’aver evitato precetti precisi, inoltre, rientra a mio avviso in pieno nel concetto di accountability. Fa parte integrante della struttura stessa della legge, della sua logica intrinseca che è basata su un approccio più nordico che mediterraneo, non a caso questo aspetto è quel che maggiormente fa storcere taluni nasi.
Cosa dobbiamo fare per essere a posto con le richieste del GDPR? Sta a noi deciderlo autonomamente prendendoci il rischio di sbagliare, di fare il giusto o di fare più del necessario. È del resto ovvio che il raccordo tra i principi generali enunciati a livello di norma europea e le legislazioni nazionali dovesse essere compiuto dai singoli Stati. Che poi noi si sia ignorata la portata del GDPR e si sia giunti in tremendo ritardo con il decreto 101 è fatto tipicamente italiano. Così come la scelta di novellare la 196, piuttosto che di riscriverla ex novo come del resto era stato fatto nella prima bozza del decreto.
Il 25 maggio 2018 ha marcato l’applicabilità del GDPR ma ha anche riempito di email le caselle postali di milioni di cittadini europei alla ricerca del consenso sull’uso dei dati e della reimpostazione della privacy individuale. Il consenso richiesto su tutti i dati è però una forzatura del GDPR che non impone vincoli su tutti i trattamenti. Quali sono i dati che vanno legati al consenso e in che modo si intersecano con quello che in giurisprudenza è chiamato legittimo interesse? Quali sono le vulnerabilità del GDPR in merito alla gestione del consenso, ad esempio riferito all’utilizzo dei cookies?
Sono stati giorni a dir poco convulsi, quasi isterici. E come sempre quando si agisce in modo inconsulto non si fanno scelte particolarmente oculate e infatti penso che una buona fetta di quel che è stato spedito sia stato o inutile o errato. In tal senso va anche detto che molti pseudo professionisti han dato consigli in alcuni casi errati a voler essere generosi.
Del resto il Garante aveva esposto delle linee guida molto chiare e precise, se si fosse stati in possesso di consensi marketing regolari si doveva solo inviare la nuova informativa. Il problema (e qui parlo per esperienza sul campo) è che lato marketing ci si è spesso mossi in modo diciamo superficiale, inserendo nelle mail list persone che non avevano prestato alcun consenso e allora tutti a chiederlo (tra l’altro in modo non corretto, perché se io non ti ho prestato il consenso prima, come fai tu a chiedermelo adesso a mezzo di una newsletter dentro cui non dovrei trovarmi?).
Quanto ai dati da legare al consenso ci sono situazioni assai differenti tra loro, sicuramente buona parte delle operazioni di marketing (fatto salvo quanto espresso dall’articolo 130 del Codice Privacy come novellato dal decreto 101) necessitano del consenso, in quanto possiamo sintetizzarle come la richiesta di invadere spazi privati. Se vogliamo seguire una logica. Così come la possibilità di profilare i comportamenti web (se su larga scala questo richiede il DPO) o social degli interessati.
Un aspetto, invece, che spesso i datori di lavoro ignorano è che il consenso dei loro dipendenti non può mai essere considerata una valida base legale per un trattamento dei dati, mi è successo mentre pranzavo con la mia socia di osservare una telecamera piazzata sul banco degli alimenti (lo scopo era evidentemente di riprendere le vivande) che però riprendeva i dipendenti e gli avventori e diffondeva le immagini in un centro commerciale. Quando ho fatto notare alla padrona del locale l’irregolarità, mi ha risposto che il suo commercialista aveva fatto firmare il consenso ai dipendenti e quindi era a posto.
Quanto invece al legittimo interesse a mio parere è un simpatico campo minato, perché rischia di diventare la scusa per giustificare ogni genere di trattamento bypassando la dovuta richiesta di consenso. Va usato con oculatezza seguendo i suggerimenti del WP29.
I cookies sono il classico esempio del perché questo regolamento è importante e perché non riguarda solo e unicamente compagnie come Google. Molti di coloro i quali utilizzano in modo serio il marketing usano dati di profilazione derivanti dell’uso dei cookies, quindi il consenso al loro utilizzo deve essere chiaro (cosa che spesso non è), l’accettazione del loro uso non deve essere del tipo “se sbatti le ciglia hai accettato”, ma deve esserci un bel pulsante “presto il consenso”, nonché una pagina di spiegazione di cosa accade se accetto e la spiegazione di come eliminarli se dovessi ripensarci. Questi approcci furbeschi costituiscono a mio avviso una zona di pericolo per le imprese, e non uso apposta il termine zona grigia perché i dettami del Garante in merito sono a dir poco chiari come quelli del GDPR, ci deve essere un atto positivo dell’interessato nell’espressione del consenso, non può essere che se per sbaglio tocco un elemento della pagina web allora ho accettato, quella è astuzia.
I media non sembrano avere dato troppa attenzione alla scadenza del 25 maggio 2018. Lo hanno fatto per una sottovalutazione del GDPR o perché tutto è filato liscio e non ci sono stati fatti di cronaca meritevoli di prime pagine? Eppure il panico poteva essere una conseguenza e una causa di cattive esperienze. Quello che è certo è che come il Millennium Bug anche il GDPR non ha marcato alcuna fine del mondo ma solo l’inizio di una nuova era. Secondo lei quante sono le realtà che hanno travalicato il 25 maggio senza essere pronte e cosa possono fare, ad esempio collaborando con aziende partner, per porvi rimedio? In fondo anche la stessa Commissione Europea è in ritardo su molte adempienze e tanto meno il legislatore nazionale!
Non ci sono stati fatti di rilievo, ma semplicemente perché il Garante non ha detto alla Guardia di Finanza di iniziare i controlli, del resto come poteva senza la legge di armonizzazione promulgata? In questo contesto i media hanno taciuto, per assenza di notizie pruriginose, ma anche perché diciamolo quelli della praivasi sono degli scocciatori un po’ per tutti, i giornalisti non credo abbiano intenzione di inimicarsi una parte di lettori/ascoltatori parlando di cose spiacevoli. E di GDPR credo di aver sentito una notizia che diceva “da domani entra in vigore” o giù di lì.
Quanto al filare liscio, beh siamo ancora in alto mare, molte aziende devono ancora fare la compliance, molte l’hanno fatta male, molte non sanno di cosa stiamo parlando. Per tacere del capitolo DPO, ho sentito di DPO nominati in contumacia. Ho ascoltato parole durissime dell’ex Garante Francesco Pizzetti, parole che mi sento di condividere in toto, sulla severità che si dovrebbe riservare a chi si offre come DPO senza averne le competenze al prezzo delle patate e a chi assume DPO che a mala pena sanno cosa sia un trattamento solo perché costa poco il suo servizio.
I ritardatari ad oggi sono un numero veramente alto, non saprei darle delle cifre esatte, sebbene avessi letto tempo addietro che un terzo soltanto delle aziende italiane era avviato in un percorso di compliance, mentre il resto o non sapeva cosa fosse il GDPR o stava appena iniziando a muoversi. Aggiungerei anche che sì lo Stato è il primo ad avere dei problemi, seri anche. Si pensi alle PA che sono obbligate dall’articolo 37.1.a a nominare un DPO, ma che spesso non hanno i fondi necessari per farlo (parliamo di scuole pubbliche? Le stesse in cui dovevo dare ai miei figli la carta igienica da portare da casa?). Quindi è evidente che il lavoro da fare è ancora enorme. Porre rimedio significa iniziare da un punto che secondo me è cruciale, comprendere con l’aiuto di chi lavora con serietà nel settore che non sono denari gettati al vento, che non è tempo sprecato. Un siffatto atteggiamento è un seme gettato su un terreno fertile.
Cosa dovrebbe fare un'azienda che non ha ancora implementato il GDPR? Dovrebbe accelerare per farlo per timore delle sanzioni o darsi tutto il tempo che serve per comprenderne l'essenza in termini di come devono essere trattati i dati e soluzioni utili e/o necessarie per la loro protezione ma anche per gestire le criticità organizzative e operative?
Se dovessimo rispondere a questa domanda d’impulso dovremmo dire darsi velocemente da fare perché la fase di attesa sta per terminare. Ma va anche detto che la natura medesima del GDPR impone di fare le cose per bene… BY DESIGN, e la fretta non aiuta questo approccio. Va anche tenuto in considerazione che per arrivare a una vera compliance non basta che il consulente venga da voi vi produca la carta (registri, nomine, contratti coi responsabili), a mio parere un buon consulente agisce con attenzione, controlla ogni archivio (cartaceo, digitale o in Internet), verifica tutta la situazione informatica, offre consigli su eventuali criticità emerse durante la sua analisi. Insomma è un processo la cui lunghezza dipende inevitabilmente dalla complessità delle imprese in esame.
Quindi? La prima cosa da fare è mettere mano ai siti che sono la prima interfaccia titolare-resto del mondo, ho visto siti con ancora la 675/96 come legge di riferimento per la privacy. In seconda istanza, è fondamentale affrontare le criticità interne, ce ne sono in ogni realtà e spesso metterle a nudo o anche solo accettarle è un problema, qui il consulente diviene un po’ psicologo: adeguamento informatico, formazione degli operatori, adeguamento procedurale. Per citare alcuni aspetti. La fretta non aiuta, ma a questo punto mi aspetto un’ondata di panico attorno a gennaio, sebbene non si possa nemmeno pensare di risolvere con qualche incontro annose questioni organizzative interne o errori strutturali informatici ormai inveterati. Come per ogni cosa serve del tempo e sì con la spada di Damocle sospesa sulla testa, perché siamo arrivati tardi e abbiamo sprecato due anni.
Infine un'ultima domanda. Su molti media americani si è parlato di GDPR come killer della democrazia di Internet per i numerosi vincoli che pone all'uso dei dati e per avere causato la messa offline di numerose testate o risorse web. Il GDPR sembra essere percepito come clava nei confronti dei produttori americani di piattaforme tecnologiche e come tale capace di mettere in crisi la Rete. Lei cosa ne pensa? Non è la difesa della privacy e la ricerca del consenso la dimostrazione di una democrazia migliore o quanto meno della sua interpretazione europea?
La risposta a questa domanda la prendo alla larga. Io sono, dal 1993, prima un utente di prodotti Apple, poi poco a poco sono divenuto un tecnico, per poi dedicarmi ad altro. Ho sempre, da sano utente della Mela, guardato con snobismo l’universo Microsoft. Oggi però non posso che fare un plauso alla dirigenza di Redmond, perché prima di molti altri ha individuato in primis le opportunità commerciali che il GDPR poteva offrire, ma ha anche compreso che era un’opportunità di crescita culturale, politica e l’ha abbracciata in pieno. Altro che killer della democrazia! Il punto è - temo - che in molti paesi sia ritenuto democratico abdicare alla propria privacy in nome di una presunta maggior sicurezza, una scelta di comodo che è fondata sul non avere voglia di impegnarsi a leggere quelle righe che spiegano cosa viene fatto coi nostri dati, e in questo il GDPR non potrà salvare nessuno. Del resto a certi governi questa pigrizia fa pure comodo.
Basta leggere un buon libro di fantascienza per capire come il pericolo che tutti gli aspetti della nostra vita siano sotto il costante controllo di qualcuno sia oggi più che mai reale e tangibile. Ma spesso è più facile bollare certa letteratura come inutile allo sviluppo dell’umanità e così ci si dimentica del contributo di giganti come Orwell o Huxley.
Il GDPR restituisce (o almeno prova a restituire) parte del controllo sui nostri dati personali a noi, ma lo fa non impedendo a chi di quei dati vuol fare commercio di provare a farlo, basta che ci venga chiesto il consenso e spiegato cosa verrà fatto e come. Definirla una legge ammazza democrazia significa semplicemente mentire. Io piuttosto la definirei una legge socialmente avanzata, futurista, illuminata. Credo che per una volta gli States, che vanno ammirati sotto un gran numero di punti di vista, dovrebbero guardare alla vecchia Europa e imparare qualcosa.
Per concludere ci può raccontare la sua proposizione sul GDPR e sui servizi che compongono il portafoglio d'offerta della sua azienda/consulenza?
La mia azienda, la GFConsul, nasce da esperienze diverse che sono state convogliate verso una medesima direzione dal GDPR. Io ho esperienza come grafico, come tecnico e come specialista di sistemi di digital publishing e di sistemi editoriali; la mia socia per converso è esperta di consulenza antiriciclaggio. Entrambi - per motivi differenti - ci siamo accostati alla privacy e alla data protection ed ecco quindi che l’offerta non può prescindere dalla nostra esperienza passata, ma sicuramente è orientata al futuro. Quel che GFConsul offre è consulenza informatica a tutto tondo (dalla sicurezza al design di rete passando per molteplici altri aspetti), consulenza sull’antiriciclaggio, sulla compliance con il GDPR e infine un servizio come DPO, avendo conseguito certificazioni in ambito privacy e data protection.
In pratica un’azienda può venire da noi per parlare di come ristrutturarsi sia in quanto a processi interni, sia in quanto a parco macchine, server, reti e sicurezza informatica in ottica di ottenere la compliance al GDPR. Può chiederci, altrimenti, di svolgere l’incarico di DPO o di eseguire consulenza antiriciclaggio.
Riteniamo che il ruolo di DPO sia estremamente complesso e in taluni casi coinvolgiamo professionisti con specificità differenti dalle nostre per ottenere il massimo risultato possibile a favore del nostro cliente.