Realtà e leggende del GDPR applicato
Superata la scadenza del 25 maggio 2018, i dubbi legati alla complessità di applicazione del GDPR non sono ancora tutti chiariti, i tanti timori diffusi sono ancora da provare come fondati. Nel frattempo leggende e narrazioni fantasiose continuano a proliferare, complice la scarsa conoscenza della materia da parte dei media e le loro imprecise e inadeguate, ma anche la percezione diffusa sulla necessità e obbligatorietà di una sua osservanza così come l'assenza di interventi tempestivi per negarne la consistenza o adeguatezza da parte di legislatori e autorità istituzionali.
SoloTablet ospita da sempre contenuti e contributi legati a tematiche tecnologiche con effetti reali sulla vita individuale e sociale delle persone. Il 2018 sarà ricordato per l’applicabilità del GDPR e l’insorgere di numerose problematiche, riflessioni e iniziative ad esso collegate. L’implementazione del GDPR in Italia ha evidenziato numerosi aspetti ed elementi di criticità. Tutti associati alla tutela, alla riservatezza del dato e al diritto alla privacy del cittadino europeo. Elementi relativi alla sicurezza e alla privacy ma anche all'implementazione della normativa in azienda, non ancora perfettamente compresi, così come non sempre opportunamente e attentamente valutati, da parte di aziende e organizzazioni, private e pubbliche.
Con l'intenzione di verificare se e quanto questa percezione sia veritiera e valida abbiamo deciso di intervistare alcuni dei protagonisti del GDPR italiani: DPO (Data Protection Officer), consulenti, CIO, studi legali, ecc.
Questa intervista vede la partecipazione di Luca de Bernardis, Head of Privacy Consulting / DPO at Progetto Ambiente, che ringraziamo per avere accettato la proposta di SoloTablet per una riflessione condivisa sul GDPR.
A pochi mesi dall'applicabilità in vigore del GDPR in Italia ci potrebbe raccontare quale è stato il percorso che secondo lei ha caratterizzato la sua implementazione in Italia? L'impressione che ne abbiamo derivato la possiamo riassumere in ritardi dettati da scarsa conoscenza e assenza di senso dell'urgenza, in ampi spazi di deroga lasciati al legislatore nazionale che hanno legittimato i ritardi e limitato gli interventi ufficiali e in molta confusione che persiste ancora ora. Lei cosa ne pensa?
Nel caso italiano, distinguerei tra tardiva e scarsa conoscenza del GDPR, e assenza di senso di urgenza in campo legislativo.
Il Garante italiano è senz’altro responsabile per la tardiva e scarsa conoscenza delle nuove norme privacy, che ha caratterizzato l’avvento della piena applicabilità del GDPR nel nostro paese. Pur avendo partecipato, nella sua qualità di membro del Consiglio d’Europa, alla formulazione del regolamento, e avendo avuto a disposizione due anni per informare i soggetti e le istituzioni coinvolte nella gestione delle privacy, il Garante italiano - fatta salva una manciata di osservazioni disseminate quasi casualmente tra un convegno e l’altro - ha dato l’impressione di essersi accorto soltanto a inizio 2018 che a maggio qualcosa sarebbe cambiato.
E questo a differenza degli altri garanti europei, che fin dal maggio 2016 avevano invece fornito ampie delucidazioni sulla nuova normativa, provvedendo altresì linee guida e addirittura strumenti software gratuiti per affrontare talune delle nuove tematiche (per esempio, il software fornito dal garante francese per lo svolgimento del processo di DPIA).
Per quanto riguarda l’assenza di senso di urgenza in campo legislativo, direi che questa è invece forse più legata a un ritardo del nostro impianto culturale collettivo, rispetto ad altri paesi europei, nel riconoscere la centralità della privacy individuale in un contesto dove il rapidissimo sviluppo delle tecnologie di comunicazione compromette (più o meno involontariamente) la riservatezza che deve essere garantita agli individui. E questo è un ritardo che ci porta a considerare la privacy individuale un ‘nice to have’ piuttosto che un ‘must’.
Non sorprende davvero, quindi, che la piena applicabilità del GDPR in Italia abbia creato una notevole confusione negli operatori del settore, unita alle loro (più che legittime) ansie per il draconiano regime sanzionatorio previsto dal regolamento europeo. E nemmeno sorprende che in una situazione così caotica siano potuti spuntare dal nulla esperti di privacy diciamo ‘improvvisati’ (per usare un gentile eufemismo) che offrono, per esempio, soluzioni software ‘prêt-à-porter’ in grado, secondo loro, di garantire alle aziende che le acquistano una perfetta conformità al disposto del GDPR (come se aggiornamenti del software, effettivi o farlocchi che siano, potessero da soli costituire l’unico requisito da soddisfare per garantire conformità).
Le molteplici interpretazioni del GDPR obbligano a fare chiarezza su molti aspetti di una normativa, curata e puntigliosa ma anche complessa e aperta a possibili letture fuorvianti o sbagliate. In particolare maggiore chiarezza sarebbe necessaria su quali siano i destinatari aziendali di alcune norme rispetto ad esempio alle nomine dei Data Protection Officer. Secondo lei quali sono gli ambiti sui quali una maggiore chiarezza potrebbe ancora essere fatta? A chi potrebbe essere utile?
Personalmente non ritengo che il GDPR si presti a molteplici interpretazioni. Mi spiego meglio. Nel corso del mio lavoro mi capita spesso di occuparmi di questioni di privacy in certi paesi europei, e devo dire che in questi paesi (soprattutto UK, Francia e Germania) l’introduzione del GDPR non ha davvero provocato una ridda di interpretazioni in campo accademico, né tantomeno particolari dubbi in campo aziendale. Probabilmente (anzi, quasi sicuramente) perché in quei paesi il discorso privacy, a livello tanto legislativo quanto aziendale, è partito prima che da noi. Quindi il GDPR si è inserito in realtà già strutturate per accomodare l’impianto della privacy, con politiche, procedure e assegnazione di responsabilità aziendali consolidate (per fare l’esempio menzionato nella domanda, il ruolo di DPO in UK e Germania esiste già da parecchio tempo).
Credo che gli ambiti sui quali una maggiore chiarezza potrebbe risultare utile si riducano in sostanza a uno solo: la necessità di sensibilizzare molti vertici aziendali italiani sul significato e l’importanza della tutela della privacy. Non solo per una questione di conformità legislativa, ma anche – anzi forse soprattutto – per una questione di sviluppo del business in mercati (quelli europei) che a differenza nostra interpretano la tutela della privacy individuale non come un fastidio burocratico, ma come un valore essenziale.
Dalla lettura del regolamento europeo si evince che molte delle formulazioni sono condizionate a scelte che devono essere fatte a livello nazionale. E' come se il legislatore europeo avesse deciso di evitare l'imposizione di precetti o ordini precisi pur avendo definito un framework di riferimento stringente e a suo modo vincolante. Secondo lei quanto è vincolante il GDPR a livello nazionale e quali spazi di manovra hanno i legislatori locali e le realtà che devono implementarlo?
Secondo me il legislatore europeo ha fornito un framework di riferimento stringente e vincolante, all’interno del quale esistono già precetti e ordini molto precisi. Ritengo che gli unici spazi lasciati ai legislatori nazionali siano per direttive che integrino quei precetti e quegli ordini con i dettagli amministrativi più consoni a ciascuna situazione nazionale. In altre parole, il CdE permette che al GDPR si aggiungano elementi di legislazione nazionale nella misura in cui (e solo nella misura in cui) questi elementi consentano la piena attuazione dei precetti e degli ordini europei.
E questo sembra essere un concetto leggermente perso in Italia. Per esempio, parlando della nomina di un DPO, il GDPR sottolinea più e più volte come questa figura professionale debba possedere una grande esperienza di impresa, a prescindere dai propri titoli accademici. E cionondimeno, le amministrazioni pubbliche (ma anche svariate private) insistono nel pubblicare bandi per l’assunzione di DPO’s dove sono richieste esclusivamente certe specifiche lauree con esclusione di tutte le altre (tra parentesi, una laurea non è tra i requisiti imposti dal GDPR). E tra i compiti specifici del DPO, spesso insistono ancora nel menzionare requisiti tratti dal vecchio disposto del Disciplinare Tecnico nonostante questo sia stato abolito nel nuovo Codice Privacy (dopo la riformulazione introdotta dal D. Lgs. 101 del 10 agosto 2018).
Il senso della vita
A mio avviso, tutto questo rivela come, oltre che da una lettura superficiale del GDPR, molti soggetti (prevalentemente pubblici ma, come ho detto sopra, anche privati), siano eccessivamente condizionati dalla mancanza di regole scritte tanto nel campo delle figure professionali quanto in campo tecnico.
Per fare solo un esempio, il GDPR non stabilisce (né richiede ai legislatori nazionali di stabilire) parametri fissi in termini di sicurezza IT, chiedendo invece ai titolari e ai responsabili del trattamento dati di profondere il massimo impegno nel monitoraggio costante dell’adeguatezza degli strumenti e delle tecnologie impiegati nel trattamento, e di implementare tutti gli aggiornamenti offerti dallo stato dell’arte per garantire la massima tutela della privacy individuale.
Questa, che taluni da noi definiscono ‘vaghezza’ del GDPR, non sembra invece aver creato particolare confusione e/o timori in aziende dove la tutela della privacy è considerata un valido e importante obiettivo strategico. Per queste aziende, la disponibilità o meno di parametri minimi di sicurezza imposti per legge è grosso modo irrilevante, nella misura in cui i loro sistemi IT sono e saranno sempre e comunque anni luce più avanti di qualsiasi ‘minimo legale’.
Certo, dotarsi di un supporto IT (interno o esterno che sia) in grado di fornire soluzioni sempre aggiornate alle ultime tecnologie rappresenta per le aziende un impegno finanziario non banale. Un impegno probabilmente troppo oneroso per il sistema aziendale italiano, la cui struttura portante (specie dopo le acquisizioni estere delle nostre principali grandi aziende) è rappresentata ormai quasi solo dalle PMI. E, fatti salvi alcuni casi, le PMI italiane operano in settori a basso contenuto tecnologico, nei quali la competizione sul prezzo è tale da non lasciare davvero grandi margini per investimenti in IT.
Di qui, verosimilmente, le ansie e le incertezze create dall’abolizione di parametri legali fissi (come quelli stabiliti nel vecchio Disciplinare Tecnico) in un regolamento che ha smesso di essere solo un fastidioso lacciuolo burocratico - da liquidare semplicemente attenendosi ai parametri minimi imposti dalla legge - ma è ora percepito come una vera e propria spada di Damocle.
Il 25 maggio 2018 ha marcato l’applicabilità del GDPR ma ha anche riempito di email le caselle postali di milioni di cittadini europei alla ricerca del consenso sull'uso dei dati e della reimpostazione della privacy individuale. Il consenso richiesto su tutti i dati è però una forzatura del GDPR che non impone vincoli su tutti i trattamenti. Quali sono i dati che vanno legati al consenso e in che modo si intersecano con quello che in giurisprudenza è chiamato legittimo interesse? Quali sono le vulnerabilità del GDPR in merito alla gestione del consenso, ad esempio riferito all'utilizzo dei cookies?
Ciò che ha determinato l’intasamento delle caselle postali italiane con richieste di consenso ‘a capocchia’ è da far risalire, ancora una volta, a una lettura superficiale del GDPR, certamente non aiutata dalla mancanza di linee guida da parte del Garante. In realtà, nei due casi principali di obbligatorietà del consenso (marketing e profilazione automatica) il GDPR è chiarissimo nel descrivere obblighi, responsabilità e legittimo interesse dei titolari dei dati, i relativi diritti degli interessati e le modalità da seguire per conciliare (anche in via giudiziale) l’uno e gli altri. Così come è chiarissimo nel campo della gestione del consenso in materia di cookies, peraltro.
Ma, ancora una volta, il GDPR demanda a ciascun paese di strutturare l’impianto legislativo e burocratico attraverso il quale applicare queste (tutt’altro che generiche) indicazioni. E in assenza di (o incertezza su) impianti legislativi nazionali ad hoc si richiede il consenso su tutto (leggi: ‘per non saper né leggere né scrivere …’).
I media non sembrano avere dato troppa attenzione alla scadenza del 25 maggio 2018. Lo hanno fatto per una sottovalutazione del GDPR o perché tutto è filato liscio e non ci sono stati fatti di cronaca meritevoli di prime pagine? Eppure il panico poteva essere una conseguenza e una causa di cattive esperienze. Quello che è certo è che come il Millennium Bug anche il GDPR non ha marcato alcuna fine del mondo ma solo l'inizio di una nuova era. Secondo lei quante sono le realtà che hanno travalicato il 25 maggio senza essere pronte e cosa possono fare, ad esempio collaborando con aziende partner, per porvi rimedio? In fondo anche la stessa Commissione Europea è in ritardo su molte adempienze e tanto meno il legislatore nazionale!
Sarei cauto nell’affermare che ‘tutto è andato liscio’. Finora non è successo nulla di eclatante, è vero, ma questo anche perché il Garante ha assicurato che per i primi 8 mesi non avrebbe effettuato accertamenti. Non so quante siano le realtà italiane conformi con il GDPR in questo momento (ho letto da qualche parte meno del 30%), ma certamente moltissime aziende sono tuttora alla ricerca di consulenze per quanto riguarda la gestione della privacy.
Un fenomeno che vale la pena di menzionare, è che molte imprese – particolarmente nel settore delle PMI – sembrano preoccupate soprattutto di raggiungere quella che definirei una conformità ‘documentale’ piuttosto che una conformità ‘effettiva’ con il GDPR. Ossia, sembrano puntare più che altro a un semplice aggiornamento e/o a una modifica delle loro informative, lettere di nomina, e modelli di raccolta del consenso in linea con la nuova terminologia del GDPR, rimandando (o tralasciando del tutto) quell’aggiornamento delle loro procedure interne che potrebbe assicurare l’effettiva conformità con il disposto del nuovo regolamento europeo. Il rischio, in questi casi, è rappresentato da un’eventuale ispezione del Garante che dovesse verificare un sostanziale scostamento tra i comportamenti ‘promessi’ nelle nuove informative privacy aziendali e quelli effettivamente adottati internamente.
Cosa dovrebbe fare un'azienda che non ha ancora implementato il GDPR? Dovrebbe accelerare per farlo per timore delle sanzioni o darsi tutto il tempo che serve per comprenderne l'essenza in termini di come devono essere trattati i dati e soluzioni utili e/o necessarie per la loro protezione ma anche per gestire le criticità organizzative e operative?
Raccomanderei a queste imprese di accelerare, ma non soltanto per timore delle sanzioni. Come ho menzionato sopra, i mercati europei più dinamici e interessanti pongono un grande valore aggiunto sulla corretta gestione della privacy, e poter dimostrare di essere in grado di farlo può ben rappresentare un notevole vantaggio competitivo.
Infine un'ultima domanda. Su molti media americani si è parlato di GDPR come killer della democrazia di Internet per i numerosi vincoli che pone all'uso dei dati e per avere causato la messa offline di numerose testate o risorse web. Il GDPR sembra essere percepito come clava nei confronti dei produttori americani di piattaforme tecnologiche e come tale capace di mettere in crisi la Rete. Lei cosa ne pensa? Non è la difesa della privacy e la ricerca del consenso la dimostrazione di una democrazia migliore o quanto meno della sua interpretazione europea?
Non stupisce, direi, che dagli USA vengano segnali di questo genere, visto il peso del settore dell’e-commerce nell’economa del paese. Un settore tuttavia che, lungi dal danneggiare, a mio avviso il GDPR protegge, rendendolo più sicuro e accettabile soprattutto nella percezione dei cittadini europei.
Direi che occorre distinguere tra piattaforme tecnologiche intese a supportare l’e-commerce in sé e piattaforme tecnologiche intese a supportare pratiche di mass-mailing in campo marketing. In quest’ultimo caso, le limitazioni imposte dal GDPR sull’uso di dati personali non raccolti direttamente presso gli interessati potrà senz’altro mettere in difficoltà aziende coinvolte nella discutibile pratica di compravendita di database di dati personali. Ma credo che questo non dispiacerà nemmeno ai consumatori americani.
E per finire, bisogna anche vedere quali testate e risorse Internet sono state messe offline. Nella maggior parte dei casi, più che di siti commerciali, si è trattato di blog e social networks (spesso infestati di trolls, haters o anche solo amanti del pettegolezzo) che non adottavano le benché minime misure di protezione dei dati personali (anzi …).
Per concludere ci può raccontare la sua proposizione sul GDPR e sui servizi che compongono il portafoglio d'offerta della sua azienda/consulenza?
La nostra proposizione sul GDPR (nonché sul nuovo Codice Privacy italiano nel quale è stato incorporato) si riassume fondamentalmente nelle risposte che ho dato.
Offriamo alle aziende che ci contattano consulenze privacy che, oltre ad assicurare la semplice conformità documentale, garantiscono anche un’analisi approfondita delle procedure business e dei sistemi informatici in uso, e raccomandano le soluzioni più consone al ‘salto di qualità’ richiesto per una conformità effettiva con il GDPR, e il raggiungimento del miglior posizionamento competitivo che ne deriva.
