GDPR, una nuova chiave di lettura

di A. Cecchetti (www.consulentelegaleinformatico.it) - All'European Data Protection Days 2017 si è discusso delle evoluzioni della General Data Protection Regulation e dei suoi risvolti pratici. Si è parlato di privacy non solo per i Data Protection Officer, ma anche per i Chief Information Officer

Roma - In quale ottica dobbiamo leggere la GDPR (General Data Protection Regulation) di prossima entrata in vigore? La risposta arriva direttamente dall'European Data Protection Days - tenutosi a Berlino lo scorso 15-17 Maggio - dove le Autorità europee si sono confrontate sulle tematiche più spinose del nuovo Testo in materia di Data Protection, e i referenti delle aziende invitate hanno raccontato il proprio percorso di adeguamento in previsione della deadline fissata per il 25 maggio 2018.

A fronte di un'evoluzione tecnologica inarrestabile da un lato e irrinunciabile dall'altro - essendo la chiave di volta dello sviluppo delle economie di tutti i Paesi - la GDPR rappresenta una nuova concezione di recepire la normativa, essendo caratterizzata oltre che da una prospettiva di efficacia duratura nel tempo, anche da un certo livello di flessibilità in grado di rispondere a dinamiche tecnologiche in continua trasformazione, tenuto altresì conto delle peculiarità che caratterizzano le aziende che dovranno osservare gli obblighi imposti.

Disposizioni, quelle descritte nella GDPR, fortemente incentivate dal valore assunto dal dato personale e, più in generale, dal patrimonio informativo delle aziende sempre più esposte - come confermano i recenti fatti di cronaca - a rischi di perdita dei dati o della riservatezza sugli stessi, dati che necessariamente devono essere considerati un asset aziendale, e come tale da proteggere e preservare.
Dagli interventi che si sono avvicendati, indipendentemente dalla provenienza dei relatori, emerge chiaramente come la GDPR abbia concretamente innalzato il livello di attenzione delle aziende sulle tematiche della Data Protection, richiedendo loro un coinvolgimento diretto e attivo nel processo di adeguamento, piuttosto che relegandole a mere esecutrici passive.

Forse la parola più ricorrente è stata "pragmaticità", un concetto fondamentale per calare gli adempimenti della GDPR nei diversi contesti aziendali, rispondendo al principio generale dell'accountability e bilanciandolo con gli aspetti di business.

Le aziende presenti hanno descritto gli step di adeguamento, partendo dalla valutazione degli applicativi presenti in azienda, come dei nuovi progetti tecnologici in corso, rispetto ai principi di privacy by design e by default.

Anche la figura del DPO (Data Protection Officer) è stata analizzata sotto molteplici prospettive, sia rispetto a come le aziende hanno preso decisioni riguardo a questa figura/ufficio, che avrà un ruolo cardine nel privacy compliance program, sia sul breve che sul lungo periodo. Non sono state ricordate e approfondite soltanto le strong skills dei DPO già seduti sulle proprie poltrone, ma soprattutto le soft skills, intese come requisiti di non poco conto in una figura che avrà il compito di "accendere la luce in azienda rispetto alla GDPR". Una figura capace di conciliare conoscenze tecnologiche con competenze normative (non solo privacy, ma anche contrattualistica, 231, reati informatici e compliance) è abbastanza rara; le aziende, nell'individuare il DPO, non potranno non considerare gli aspetti personali, atteso l'ampio coinvolgimento di tale figura nelle decisioni aziendali. Ad avviso di chi scrive l'importanza di strong e soft skill si equivale.

Ma anche sul fronte della gestione del data breach occorre avere le idee chiare sia sulla rilevazione degli eventi, che sulla loro classificazione rispetto all'obbligo di comunicazione. Questo è, ad esempio, uno dei temi che può condizionare i rapporti con i fornitori dei sistemi informativi che i CIO (Chief Information Officer) devono preventivamente esaminare. Si pensi al caso di servizi cloud dove l'onere di comunicazione entro 72 ore dalla violazione riguarda il titolare del trattamento; se contrattualmente non vengono stabiliti termini temporali che consentano di ricevere la comunicazione con ampio anticipo rispetto alle suddette 72 ore, il Titolare rischia di trovarsi in una situazione delicata rispetto alla violazione dei termini temporali di comunicazione all'Autorità di controllo e questo proprio perché fin dalla stipula contrattuale non ha previsto una simile ipotesi. Quanto detto, inoltre, evidenza in modo chiaro come i fornitori dei sistemi informativi, dovendo andare a traslare contrattualmente tutti quegli aspetti pratici e tecnici che riguardano la gestione della GDPR sul fronte informatico, siano tenuti a dialogare ampiamente con l'ufficio legale o con chi, comunque, gestisce gli aspetti legali.

In ultimo, ma non certamente in ordine importanza, è stato affrontato il noto tema del trasferimento dei dati all'estero ricordando l'importanza delle BCR (Binding Corporate Rules) e degli aspetti contrattualistici. Soprattutto in riferimento a questi ultimi un acceso dibattito ha riguardato il rapporto tra le attività di audit del controller sugli outsourcer dotati di certificazioni in materia di sicurezza informatica.

In giornate molto dense di argomenti e figure di rilievo del settore, a Berlino è stata data una lettura poliedrica e internazionale della GDPR, che ha indubbiamente arricchito e fornito spunti agli uditori, e agli stessi relatori.

Alessandro Cecchetti
General Manager Colin & Partners
Notizie collegate
3 Commenti alla Notizia GDPR, una nuova chiave di lettura
Ordina
  • Ma non potreste fare come tiscali che mette sempre le fotine "tette e culi" nella colonna di destra?
    non+autenticato
  • Diciamo che su quello "politico" il problema è che realizzare sistemi realmente sicuri non è troppo accettabile. Al cittadino non piace esser spiato, in particolare se è un attivista per i diritti umani in un regime totalitario, ma allo stesso modo non piace al criminale di turno. La soluzione la conosciamo da tempo immemore: conviene avere "autorità" "oneste" che facciano il loro lavoro ed un giusto compromesso tra "riservatezza" e "controllo". Non è facile, non si trova la ricetta in qualche manuale e non è nulla di "materialmente definito e conclusivo", è un continuo divenire.

    Il problema "odierno" è che l'informatica ha cambiato la scala di questi scenari, se un tempo per chessò pedinare qualcuno serviva tanta gente (se è sempre lo stesso a seguirti lo noti no?), se per spiare in genere servivano risorse non vacilmente reperibili a certe scale e sopratutto per avere una certa "pervasività" servivano risorse enormi e distribuite sul territorio fisico oggi un singolo con un portatile può agire a livelli inimmaginabili sino a 40/50 anni fa. Questo non lo si è ancora metabolizzato.

    L'altro problema è che tanto il politico quanto il manager non sanno in media un tubazzo di nulla delle tecnologie presenti e quindi cercano di "irrigimentare" nell'ignoranza più totale qualcosa che non conoscono affidandosi in genere agli "esperti" di turno, che di solito han interessi di parte ed i risultati li conosciamo. Anche qui sappiamo come risolvere: che il management si occupi solo dell'ordinaria amministrazione, l'evoluzione è compito del tecnico, con le leggi della scienza, non dell'economia, che il politico si occupi degli obiettivi della società non pretendendo di inquadrare ogni cosa in qualche norma ma solo "tirando il filo" via via che la situazione evolve. Anche questo non piace. Il management vuol comandare e per farlo vuole "dati/basi certe", poco importa sian in realtà fantasiose e di scarso valore.
    non+autenticato
  • +1.

    - Scritto da: xte

    > L'altro problema è che tanto il politico quanto
    > il manager non sanno in media un tubazzo di nulla
    > delle tecnologie presenti e quindi cercano di
    > "irrigimentare" nell'ignoranza più totale
    > qualcosa
    che non conoscono affidandosi in genere

    Però questo politicamente corretto è rivoltante e si esprime dicendo semplicemente:
    "quelli che sono messi meglio non distinguono un pisello da una patata"
    ed è anche molto più chiaro perchè non si possono considerare braccia tolte all'agricoltura.A bocca aperta
    non+autenticato