Superata la scadenza del 25 maggio 2018, i dubbi legati alla complessità di applicazione del GDPR non sono ancora tutti chiariti, i tanti timori diffusi sono ancora da provare come fondati. Nel frattempo leggende e narrazioni fantasiose continuano a proliferare, complice la scarsa conoscenza della materia da parte dei media e le loro imprecise e inadeguate, ma anche la percezione diffusa sulla necessità e obbligatorietà di una sua osservanza così come l'assenza di interventi tempestivi per negarne la consistenza o adeguatezza da parte di legislatori e autorità istituzionali.
SoloTablet ospita da sempre contenuti e contributi legati a tematiche tecnologiche con effetti reali sulla vita individuale e sociale delle persone. Il 2018 sarà ricordato per l’applicabilità del GDPR e l’insorgere di numerose problematiche, riflessioni e iniziative ad esso collegate. L’implementazione del GDPR in Italia ha evidenziato numerosi aspetti ed elementi, associati alla tutela, alla riservatezza del dato e al diritto alla privacy del cittadino europeo, non ancora perfettamente compresi e non sempre opportunamente e attentamente valutati da aziende e organizzazioni relativi alla sicurezza e alla privacy ma anche all'implementazione della normativa in azienda. Con l'intenzione di verificare se e quanto questa percezione sia veritiera e valida abbiamo deciso di intervistare alcuni dei protagonisti del GDPR italiani: DPO (Data Protection Officer), consulenti, CIO, studi legali, ecc.
Questa intervista vede la partecipazione di Gianluca Lombardi, di Mondoprivacy.it, consulente per più di 300 realtà aziendali e DPO per decine di aziende ed enti che ringraziamo per avere accettato la proposta di SoloTablet per una riflessione condivisa sul GDPR.
Buongiorno Ing. Lombardi, ci può raccontare qualcosa di lei e della sua proposizione in ambito GDPR?
Mi occupo di Privacy dai primi anni 2000 come consulente. Attorno a me vi è un team di professionisti che in questi anni si è fatto sempre più numeroso e variegato con professionalità di diversa estrazione.
La nostra attività si sviluppa su tre fronti:
DPO-AUDIT PRIVACY come strumento di verifica della conformità dell’azienda dai punti di vista della conservazione del trattamento dei dati. Durante l’audit vengono svolte verifiche formali ed evidenziate situazioni critiche o prassi errate.
L’audit privacy rappresenta per ogni azienda la prova di una costante attenzione verso i trattamenti effettuati in conformità alla normativa privacy.
Al termine dell’audit, vengono evidenziate – mediante la compilazione di un’apposita checklist – eventuali situazioni critiche o prassi errate nel trattamento dei dati personali. Vengono, inoltre, ipotizzate delle soluzioni quantificabili e misurabili da parte del management.
L’audit privacy rappresenta un momento fondamentale dell’attività come DPO.
CONSULENZA PRIVACY che comprende una serie di attività volte a valutare il/i trattamento/i dei dati e la loro conservazione in azienda e a migliorarne l’efficacia per garantire che l’attività venga svolta nel completo rispetto della normativa. Tra i principali interventi svolti vi sono:
- L’analisi del trattamento dati e l’analisi dei potenziali rischi;
- La stesura, la revisione e l’aggiornamento della documentazione privacy e delle procedure nonché del Documento sulla Privacy comprensiva, se del caso, della Data Protection Impact Assessment (DPIA)
- La stesura delle varie informative privacy per gli interessati al trattamento dati;
- L’individuazione dei ruoli e dei responsabili e la stesura delle relative lettere di nomina;
FORMAZIONE PRIVACY: La nostra azienda è in grado di proporre corsi collettivi o individuali, sia presso la nostra sede che presso il cliente in tutta Italia.
Accanto ai corsi più semplici offriamo, con l’ente di certificazione CSQA, corsi di formazione professionalizzanti per DPO e Privacy Manager ai sensi della norma UNI 11697
A pochi mesi dall'applicabilità in vigore del GDPR in Italia ci potrebbe raccontare quale è stato il percorso che secondo lei ha caratterizzato la sua implementazione in Italia? L'impressione che ne abbiamo derivato la possiamo riassumere in ritardi dettati da scarsa conoscenza e assenza di senso dell'urgenza, in ampi spazi di deroga lasciati al legislatore nazionale che hanno legittimato i ritardi e limitato gli interventi ufficiali e in molta confusione che persiste ancora ora. Lei cosa ne pensa?
C’è stata molta confusione, è vero. Poche sono state le aziende che ci hanno pensato per tempo ed hanno potuto implementare un “progetto privacy” con calma. Pensi che nella settimana del 24 maggio ricevevamo più di 90 richieste di offerte al giorno.
Con calma le imprese si stanno adeguando ma ci vorrà del tempo.
Le molteplici interpretazioni del GDPR obbligano a fare chiarezza su molti aspetti di una normativa, curata e puntigliosa ma anche complessa e aperta a possibili letture fuorvianti o sbagliate. In particolare maggiore chiarezza sarebbe necessaria su quali siano i destinatari aziendali di alcune norme rispetto ad esempio alle nomine dei Data Protection Officer. Secondo lei quali sono gli ambiti sui quali una maggiore chiarezza potrebbe ancora essere fatta? A chi potrebbe essere utile?
Il senso della vita
Sarebbe opportuno che si chiarisse bene la necessità del D.P.O. per chi effettua la profilazione in ambito web. In questo ambito, vi sono molte piccole imprese che utilizzano cookies di profilazione per il loro business, seguiti da web agency dio ogni dimensione. Nei loro siti sono spesso presenti informative poco chiare e solo poche indicano la presenza del D.P.O.
Dalla lettura del regolamento europeo si evince che molte delle formulazioni sono condizionate a scelte che devono essere fatte a livello nazionale. E' come se il legislatore europeo avesse deciso di evitare l'imposizione di precetti o ordini precisi pur avendo definito un framework di riferimento stringente e a suo modo vincolante. Secondo lei quanto è vincolante il GDPR a livello nazionale e quali spazi di manovra hanno i legislatori locali e le realtà che devono implementarlo?
Alla fine, nella realtà delle aziende produttive e di servizi poco. Il legislatore è intervenuto per pochi aspetti e in settori di nicchia molto specifici.
Chi implementa un buon sistema di gestione privacy ai sensi del GDPR non avrà problemi con la parte delegata al legislatore italiano perchè, per forza di cose, in linea con il GDPR.
Il 25 maggio 2018 ha marcato l’applicabilità del GDPR ma ha anche riempito di email le caselle postali di milioni di cittadini europei alla ricerca del consenso sull'uso dei dati e della reimpostazione della privacy individuale. Il consenso richiesto su tutti i dati è però una forzatura del GDPR che non impone vincoli su tutti i trattamenti. Quali sono i dati che vanno legati al consenso e in che modo si intersecano con quello che in giurisprudenza è chiamato legittimo interesse? Quali sono le vulnerabilità del GDPR in merito alla gestione del consenso, ad esempio riferito all'utilizzo dei cookies?
Premesso che, sebbene importantissimo, il consenso non è l’unica base giuridica per trattare i dati di una persona. Pensi ad esempio come sono numerosi i casi per i quali i dati sono trattati per esigenze contrattuali o precontrattuali richieste dall’interessato (es. contratto di lavoro).
Numerosi sono anche i casi in cui il trattamento avviene per legittimo interesse del titolare (es. videosorveglianza). Per cui, sebbene ci sia una giusta enfasi sul consenso, io credo che molti trattamenti potranno essere svolti per legittimo interesse del Titolare.
Per i cookies io consiglio di continuare a seguire il Provvedimento del Garante in materia è completo, chiaro e decisamente in linea con il GDPR.
I media non sembrano avere dato troppa attenzione alla scadenza del 25 maggio 2018. Lo hanno fatto per una sottovalutazione del GDPR o perché tutto è filato liscio e non ci sono stati fatti di cronaca meritevoli di prime pagine? Eppure il panico poteva essere una conseguenza e una causa di cattive esperienze. Quello che è certo è che come il Millennium Bug anche il GDPR non ha marcato alcuna fine del mondo ma solo l'inizio di una nuova era. Secondo lei quante sono le realtà che hanno travalicato il 25 maggio senza essere pronte e cosa possono fare, ad esempio collaborando con aziende partner, per porvi rimedio? In fondo anche la stessa Commissione Europea è in ritardo su molte adempienze e tanto meno il legislatore nazionale!
Sicuramente le aziende sono in ritardo.
A distanza di mesi stiamo ancora spiegando ad imprenditori che il GDPR esiste.
Un po’ di confusione lo hanno fatto anche certe dichiarazioni che invitavano ad una moratoria per 8 mesi sulle sanzioni.
Sono state prese subito come vere lasciando pensare a molti imprenditori che c’è ancora tempo.
Inoltre, anche chi è partito con il progetto, necessità di un po’ di tempo per implementare e regolarizzare il tutto.
Ci vorrà almeno un anno per avere una buona copertura del GDPR nelle aziende.
Cosa dovrebbe fare un'azienda che non ha ancora implementato il GDPR? Dovrebbe accelerare per farlo per timore delle sanzioni o darsi tutto il tempo che serve per comprenderne l'essenza in termini di come devono essere trattati i dati e soluzioni utili e/o necessarie per la loro protezione ma anche per gestire le criticità organizzative e operative?
Ognuno ha i suoi tempi. Importante iniziare ed avere una road map ben definita per terminare in tempi certi.
Infine un'ultima domanda. Su molti media americani si è parlato di GDPR come killer della democrazia di Internet per i numerosi vincoli che pone all'uso dei dati e per avere causato la messa offline di numerose testate o risorse web. Il GDPR sembra essere percepito come clava nei confronti dei produttori americani di piattaforme tecnologiche e come tale capace di mettere in crisi la Rete. Lei cosa ne pensa? Non è la difesa della privacy e la ricerca del consenso la dimostrazione di una democrazia migliore o quanto meno della sua interpretazione europea?
Sicuramente negli ultimi anni le aziende americane hanno utilizzato i dati come strumento per guadagnare un vantaggio competitivo. Ritengo giusto che questo vantaggio sia ridimensionato. Credo, alla fine, che sia necessario che queste aziende investano per accrescere anche la consapevolezza degli utenti rispetto il trattamento dei loro dati.
Per concludere ci può raccontare la sua proposizione sul GDPR e sui servizi che compongono il portafoglio d'offerta della sua azienda/consulenza?
Trovate tutti i dettagli su www.mondoprivacy.it