Realtà e leggende del GDPR applicato

L'incontro a cui SoloTablet ha partecipato è stato organizzato da T.net Italia Spa con un'agenda che ha permesso di riflettere su tutte le problematiche relative alla implementazione del GDPR in Italia e di chiarire aspetti non sempre attentamente valutati da aziende e organizzazioni relativi alla sicurezza e alla privacy ma anche all'implementazione della normativa in azienda.

Con l'intenzione di condividere le numerose informazioni apprese e fornire un approfondimento, abbiamo intervistato Francesco Mazzola, Chief Executive Officer di T.net, ma anche IEEE Senior Member e soprattutto esperto GDPR. All'intervista ha contribuito anche Silvia Filetti Senior Legal & Data Protection Specialist at T.net Italia

Buongiorno Ing. Mazzola, a pochi giorni dall'entrata in vigore del GDPR in Italia ci potrebbe raccontare quale è stato il percorso che ha caratterizzato la sua implementazione in Italia? L'impressione che ne abbiamo derivato la possiamo riassumere in ritardi dettati da scarsa conoscenza e assenza di senso dell'urgenza, in ampi spazi di deroga lasciati al legislatore nazionale che hanno legittimato i ritardi e limitato gli interventi ufficiali e in molta confusione che persiste ancora ora. Lei cosa ne pensa?

Nonostante il Garante avesse richiamato un po' tutti già un anno fa, il GDPR è stato ignorato da molte  PA, dalle Aziende e dalle Associazioni che come le PA, avrebbero dovuto adeguarsi ad esempio nominando il DPO e facendo la DPIA (Data Protection Impact Assessment).

Il vuoto legislativo nell’imminenza dell’entrata in vigore del GDPR ed il fatto che la bozza del D.Lgs. che avrebbe dovuto, se pubblicato com’era previsto il 25.05, nella sostanza abrogare la legge 196/2003 anziché “armonizzarla” con la 679/2016, non abbia poi visto la luce, non ha certamente contribuito alla chiarificazione e alla tempestività.

Anzi il ritardo di cui è stato vittima il D.Lgs. di “armonizzazione” o di “abrogazione” non ha certo accelerato l’adozione del GDPR in Italia. Del resto se nemmeno il Governo ed il Parlamento Italiano hanno avuto a cuore la tematica, perché la dovrebbero avere le Pubbliche Amministrazioni Italiane, le Imprese o le Associazioni?!

L’audizione del Supervisore Europeo Giovanni Buttarelli in Senato dell’8 giungo lascia ben sperare però, visto che, quanto meno il Parlamento, sente adesso la necessità di intervenire e mi auguro che ciò avvenga prima della scadenza della legge delega prevista per il 20.08.2018.

La battaglia tra i due schieramenti: gli abrogazionisti e i modificazionisti del Codice 196/2003, si scontra sull’essere ormai fuori tempo massimo, per cui un lavoro durato negli altri Paesi UE almeno un anno adesso in Italia andrebbe fatto in poche settimane. Quindi anche se può sembrare brutale, ma in una logica di regolarità, certezze e rispetto dei tempi, opterei per un’abrogazione controllata della Legge 196/2003 con gli aggiustamenti auspicati dal Supervisore Europeo.

Le molteplici interpretazioni del GDPR obbligano a fare chiarezza su molti aspetti di una normativa, curata e puntigliosa ma anche complessa e aperta a possibili letture fuorvianti o sbagliate. In particolare maggiore chiarezza sarebbe necessaria su quali siano i destinatari aziendali di alcune norme rispetto ad esempio alle nomine dei Data Protection Officer. Secondo lei quali sono gli ambiti sui quali una maggiore chiarezza potrebbe ancora essere fatta? A chi potrebbe essere utile?

Intanto, ci sono diversi aspetti che non sono chiari per molti; primo fra tutti, il fatto che la nomina del DPO non risolve nulla se non l’aver nominato una sorta di “difensore” e “revisore” nei confronti di terzi (per rispondere e tutelare i “diritti degli interessati ex art. 17) e della DPA in caso di violazioni e controlli. Tutte le responsabilità restano però sempre in capo al Controller (Il Titolare del Trattamento) e quindi se poi il Regolamento non venisse applicato, la nomina del DPO servirebbe poco o a nulla. Un peace of mind, a mio avviso, del tutto inutile. Un po' come nominare il proprio RSPP ai sensi della 81/08, ma non avere poi le cassette di pronto soccorso in azienda, effettuare le visite mediche ai dipendenti, i corsi antincendio o di pronto soccorso o non fornire gli Strumenti di Protezione Individuali, perché magari “non c’è il budget!”.

Trasferito in logica GDPR, il Controller con la nomina del DPO ha qualcuno che deve verificare, secondo il principio di accountability, se le misure tecniche ed organizzative siano in piedi e garantiscano livelli di Riservatezza, Integrità e Disponibilità (RID) adeguati, se le Vulnerabilità derivanti dai livelli di controllo in essere siano in linea con i valori di RID sopra evidenziati per ciascun trattamento.  Inoltre deve verificare quali minacce la mia Organizzazione può trovarsi a fronteggiare e come sia possibile combattarle, preparando anche delle opportune procedure in caso di Data Breach. Se l’Organizzazione però non ha effettuato questa valutazione, che ai sensi del Regolamento si chiama DPIA (Data Protection Impact Assessment) e non ha quindi fatto una Gap Analisys e soprattutto non ha formulato un piano di miglioramento, stabilendo degli obiettivi e dotato il DPO di risorse e mezzi per raggiungerli, la nomina del DPO risulta ancora una volta inutile.

A questo punto tutte le Organizzazioni devono riflettere su quanto sopra e su quanto hanno investito per rendersi compliance al GDPR!

Dalla lettura del regolamento europeo si evince che molte delle formulazioni sono condizionate a scelte che devono essere fatte a livello nazionale. E' come se il legislatore europeo avesse deciso di evitare l'imposizione di precetti o ordini precisi pur avendo definito un framework di riferimento stringente e a suo modo vincolante. Secondo lei quanto è vincolante il GDPR a livello nazionale e quali spazi di manovra hanno i legislatori locali e le realtà che devono implementarlo?

Il legislatore Europeo ha giustamente lasciato ogni Paese dei 28 in grado di adattare il Regolamento alle proprie specificità locali. Un esempio: l’accesso dei minori senza consenso parentale alla Società dell’Informazione, previsto dal Regolamento a 16 anni ma “abbassabile” fino a 13. L’Italia, ad es., nella bozza del D.Lgs. il Parlamento avrebbe optato per stabilirla a 14 anni.

Un altro tema sono le sanzioni penali. Anche qui i Paesi Membri sono liberi di adottare le misure che ritengono più opportune. L’Italia, nella bozza del D.Lgs., parla di eliminare se non per i casi più gravi di intralcio alle attività dell’Autorità, le sanzioni penali sulla base del principio del ne bis in idem, visto che le sanzioni amministrative sono talmente elevate da costituire un elevato deterrente per le Organizzazioni.

CONSIGLIATO PER TE:

HABEAS DATA

Altri aspetti vengono invece mantenuti, come il divieto di cui all'articolo 13 del decreto del Presidente della Repubblica 22 settembre 1988, n. 448, di pubblicazione e divulgazione con qualsiasi mezzo di notizie o immagini idonee a consentire l'identificazione di un minore si continua ad osservare anche in caso di coinvolgimento a qualunque titolo del minore in procedimenti giudiziari in materie diverse da quella penale.

Insomma, si è lasciato un certo spazio, ma in caso di contrasto tra norme nazionali e Regolamento UE, vale sempre quest’ultimo.

Il 25 maggio ha marcato l'entrata in vigore del GDPR ma ha anche riempito di email le caselle postali di milioni di cittadini europei alla ricerca del consenso sull'uso dei dati e della reimpostazione della privacy individuale. Il consenso richiesto su tutti i dati è però una forzatura del GDPR che non impone vincoli su tutti i trattamenti. Quali sono i dati che vanno legati al consenso e in che modo si intersecano con quello che in giurisprudenza è chiamato legittimo interesse? Quali sono le vulnerabilità del GDPR in merito alla gestione del consenso, ad esempio riferito all'utilizzo dei cookies?

Molte delle mail ricevute sono state tardive, mal fatte ed assolutamente inutili. Per altro, alcune ricalcavano lo schema della Legge 196/2003 con la richiesta di autorizzazioni in bianco e senza spiegare, come prevede il Regolamento, cosa si sarebbe fatto dei nostri dati.

I dati legati al consenso sono quelli per cui il trattamento non è legittimato dall’esecuzione di un contratto o è effettuato nel legittimo interesse del Titolare. Alcuni grandi operatori, hanno obbligato ad esercitare il consenso,  pena la mancata fruibilità del servizio. Perché quindi Facebook chieda l’autorizzazione al Consenso del Riconoscimento facciale, ma non sia possibile negarlo, nessuno lo capisce, qualcuno lo immagina, ma certamente non siamo partiti con lo spirito giusto. Stessa cosa per WhatsApp che ha chiesto la verifica dei 16 anni a termini di Regolamento, ma ritengo che questo sia limitativo delle libertà e dei diritti individuali di tutti quei ragazzi nella fascia 14-­15 anni, che la bozza del D.Lgs. renderebbe come possibili legittimi fruitori del servizio!

I media non sembrano avere dato troppa attenzione alla scadenza del 25 maggio. Lo hanno fatto per una sottovalutazione del GDPR o perchè tutto è filato liscio e non ci sono stati fatti di cronaca meritevoli di prime pagine? Eppure il panico poteva essere una conseguenza e una causa di cattive esperienze. Quello che è certo è che come il Millennium Bug anche il GDPR non ha marcato alcuna fine del mondo ma solo l'inizio di una nuova era. Secondo lei quante sono le realtà che hanno travalicato il 25 maggio senza essere pronte e cosa possono fare, ad esempio collaborando con aziende come T.net, per porvi rimedio? In fondo anche la stessa Commissione Europea è in ritardo su molte adempienze e tanto meno il legislatore nazionale!

La commissione Europea non è in ritardo, l’Italia sì ed in modo clamoroso. Il sostanziale silenzio dei media in Italia fa il paio con il clamoroso disinteresse e sottovalutazione delle Organizzazioni per i temi della sicurezza e della protezione dei dati e con l’ignoranza abbastanza diffusa sui contenuti dello stesso.

T.net Italia ha fatto molto per se stessa, certificando il proprio sistema di gestione delle informazioni secondo la norma ISO 27001 e creando al proprio interno un team tecnico legale di Data Protecion.

Le Organizzazione sono confuse e mal consigliate, bombardate da offerte per una presunta compliance che partono da valori prossimi ai 1000 Euro. È ovvio che sono delle “sottovalutazioni” delle attività da svolgere, ma molti considerano questi “oboli” come un modo per aver risolto il problema continuando ad operare esattamente come prima, magari avendo installato il programmino per verificare il solo stato delle rete, che rappresenta solo una delle molte cose da fare nel processo di compliance al GDPR.

Molte delle Associazioni  che avrebbero dovuto essere molto attente ai propri associati consigliandoli, proponendo dei Codici di Condotta (art. 40) da adottare oltre che a loro stesse - visto che trattano enormi quantità di dati personali, molti anche sensibili - hanno semplicemente ignorato il problema. Per loro il GDPR si è esaurito modificando le informative ed inserendo gli opt­out nelle loro comunicazioni via mail che. Tutto qui!

Il Garante però pubblica una serie di raccomandazioni su chi è obbligato alla redazione della DPIA seguendo le linee guida del Gruppo Articolo 29 (WP 248), ad esempio:

• fornitori di servizi IT (hosting, manutenzione, ecc.), integratori di software, società di cybersicurezza o società di consulenza IT (precedentemente note come società di servizi di ingegneria informatica) che hanno accesso ai dati;
• agenzie di marketing o di comunicazione che elaborano dati personali per conto dei clienti, e
• più in generale, qualsiasi organizzazione che fornisce un servizio che comporta l'elaborazione di dati personali per conto di un'altra organizzazione.

Infine, tutte le autorità pubbliche sono tenute alla redazione della DPIA e alla Direttiva del Presidente del Consiglio dei Ministri del 01 Agosto 2015. Ricordiamo che un'associazione (Sindacati, Associazioni Datoriali, etc.) può anche essere considerata tale.

Cosa dovrebbe fare un'azienda che non ha ancora implementato il GDPR? Dovrebbe accelerare per farlo per timore delle sanzioni o darsi tutto il tempo che serve per comprenderne l'essenza in termini di come devono essere trattati i dati e soluzioni utili e/o necessarie per la loro protezione ma anche per gestire le criticità organizzative e operative?  

Il Garante all’evento tenutosi a Bologna lo scorso 24 Maggio è stato esplicito. Niente sconti e niente proroghe. Il tempo c’è stato e se le Organizzazioni, sia pubbliche che private, hanno “cincischiato” questo è un problema loro. Il tempo in più deriva dalla particolare contingenza della situazione italiana per cui fino al 20 agosto 2018 c’è ancora tempo per mettersi in regola, ma poi si parte e tutti i componenti del Garante hanno assicurato che magari non effettueranno interventi sanzionatori “estremi”, ma quelli prescrittivi potrebbero essere persino più onerosi. Insomma, si deve correre e ci si deve mettere in regola.

Come ha detto il Prof. Pizzetti in occasione del nostro convegno organizzato a Milano lo scorso novembre 2017 e come ripete in ogni incontro pubblico “Rispettare il GDPR è prima di tutto un investimento necessario ed i Sistemi Informatici e le Procedure di Gestione dei Dati degli Interessati vanno rivisti!”

Infine un'ultima domanda. Su molti media americani si è parlato di GDPR come killer della democrazia di Internet per i numerosi vincoli che pone all'uso dei dati e per avere causato la messa offline di numerose testate o risorse web. Il GDPR sembra essere percepito come clava nei confronti dei produttori americani di piattaforme tecnologiche e come tale capace di mettere in crisi la Rete. Lei cosa ne pensa? Non è la difesa della privacy e la ricerca del consenso la dimostrazione di una democrazia migliore o quanto meno della sua interpretazione europea?

Sappiamo che Europa e Stati Uniti, non hanno lo stesso approccio alla riservatezza dei dati,  di cui questi ultimi sembrano sempre i Titolari piuttosto che i Controller, come prevede la corretta terminologia utilizzata dal Regolamento UE.

Il GDPR era però una necessità ed un argine importante nella tutela dei nostri dati personali, vista la sempre più pervasiva diffusione di Internet e dei Servizi della Società dell’Informazione che oggi ha raggiunto tutti,  comprese le categorie più deboli e meno protette.

Del resto le notizie di stampa degli ultimi 12 mesi non hanno certamente rassicurato su come gli OTT utilizzano i nostri dati per influenzare comportamenti e stili di vita.

Per concludere ci può raccontare la proposizione T.net sul GDPR e sui servizi che compongono il portafoglio d'offerta della sua azienda?

• L’area di Data Protection di T.net che annovera Ingegneri ed Avvocati esperti di tutela dei Dati,  offre dei servizi ben strutturati e divisi in diverse fasi:
• Una fase di assessment che attraverso procedure automatizzate, incontri ed audit porta alla redazione dell’As­is. Questa fase preliminare prevede:
• Individuazione dei trattamenti
• Individuazione di Ruoli e delle Responsabilità
• Acquisizione dell’organigramma aziendale

• La redazione della Gap­Analisys per evidenziare quello che c’è e quello che manca in termini di misure tecnico­organizzative volte alla tutela dei dati degli interessati.
• La redazione del Registro dei Trattamenti,  non sempre obbligatoria, ma che noi redigiamo e consigliamo in ogni caso e per qualsiasi dimensione di Organizzazione.
• La Valutazione dei rischi, delle politiche di sicurezza, della superficie di rischio e delle minacce. 
• La produzione della DPIA attraverso il software pubblico reso gratuitamente disponibile dal CNIL.
• La Stesura e la modifica della documentazione legale (privacy policy, cookie policy, informative clienti e fornitori,  modifiche contrattuali, informative dipendenti,  disciplinari di utilizzo degli strumenti informatici, etc.)
• Procedure per la gestione del Data Breach
• Procedure per la gestione dell’esercizio dei Diritti degli Interessati
• Nomina del DPO (RPD).

A tutto quanto sopra, nella fase di “esercizio” può essere affiancata la nostra offerta di Security Operation Center as a Service, che completa il nostro portafoglio offerte per la Data Protection delle Organizzazioni offrendo,  tra l’altro,  i seguenti servizi:

• Sandboxing
• Anti DDOS
• Web Application Firewall
• Mail Filtering
• Anti Threats.

Ovviamente T.net Italia,  con un proprio Data Center nel Campus di Caldera a Milano,  offre una serie di servizi sicuri in Cloud, come il Data Center as a Service o di Connettività avanzata come il Servizio Fibra Pura.

T.net è quindi il partner ideale per tutte le Organizzazioni, Pubbliche e Private, oggi e domani, che hanno bisogno di innovare i processi ed evolvere in sicurezza secondo la logica 4.0.

T.net è infrastruttura ed ingegneria IT per l’innovazione.

Per ulteriori approfondimenti alcune referenze stampa:

• http://www.impresacity.it/news/18960/gdpr-privacy-tnet.html
• http://www.itespresso.it/gdpr-day-alla-ricerca-di-un-po-di-chiarezza-134240.html
• http://www.lineaedp.it/news/33152/t-net-appuntamento-al-mix-parlare-gdpr/#.Wh1ENkribcs
• http://www.bitmat.it/blog/news/69619/gdpr-aspetti-critici-opportunita-business-delle-imprese