In quale ottica dobbiamo leggere la GDPR (General Data Protection Regulation) di prossima entrata in vigore? La risposta arriva direttamente dall’ European Data Protection Days – tenutosi a Berlino lo scorso 15-17 Maggio – dove le Autorità europee si sono confrontate sulle tematiche più spinose del nuovo Testo in materia di Data Protection, e i referenti delle aziende invitate hanno raccontato il proprio percorso di adeguamento in previsione della deadline fissata per il 25 maggio 2018.
A fronte di un’evoluzione tecnologica inarrestabile da un lato e irrinunciabile dall’altro – essendo la chiave di volta dello sviluppo delle economie di tutti i Paesi – la GDPR rappresenta una nuova concezione di recepire la normativa, essendo caratterizzata oltre che da una prospettiva di efficacia duratura nel tempo, anche da un certo livello di flessibilità in grado di rispondere a dinamiche tecnologiche in continua trasformazione, tenuto altresì conto delle peculiarità che caratterizzano le aziende che dovranno osservare gli obblighi imposti.
Disposizioni, quelle descritte nella GDPR, fortemente incentivate dal valore assunto dal dato personale e, più in generale, dal patrimonio informativo delle aziende sempre più esposte – come confermano i recenti fatti di cronaca – a rischi di perdita dei dati o della riservatezza sugli stessi, dati che necessariamente devono essere considerati un asset aziendale, e come tale da proteggere e preservare.
Dagli interventi che si sono avvicendati, indipendentemente dalla provenienza dei relatori, emerge chiaramente come la GDPR abbia concretamente innalzato il livello di attenzione delle aziende sulle tematiche della Data Protection , richiedendo loro un coinvolgimento diretto e attivo nel processo di adeguamento, piuttosto che relegandole a mere esecutrici passive.
Forse la parola più ricorrente è stata “pragmaticità”, un concetto fondamentale per calare gli adempimenti della GDPR nei diversi contesti aziendali, rispondendo al principio generale dell’ accountability e bilanciandolo con gli aspetti di business.
Le aziende presenti hanno descritto gli step di adeguamento, partendo dalla valutazione degli applicativi presenti in azienda, come dei nuovi progetti tecnologici in corso, rispetto ai principi di privacy by design e by default .
Anche la figura del DPO (Data Protection Officer) è stata analizzata sotto molteplici prospettive, sia rispetto a come le aziende hanno preso decisioni riguardo a questa figura/ufficio, che avrà un ruolo cardine nel privacy compliance program , sia sul breve che sul lungo periodo. Non sono state ricordate e approfondite soltanto le strong skills dei DPO già seduti sulle proprie poltrone, ma soprattutto le soft skills , intese come requisiti di non poco conto in una figura che avrà il compito di “accendere la luce in azienda rispetto alla GDPR”. Una figura capace di conciliare conoscenze tecnologiche con competenze normative (non solo privacy, ma anche contrattualistica, 231, reati informatici e compliance) è abbastanza rara; le aziende, nell’individuare il DPO, non potranno non considerare gli aspetti personali, atteso l’ampio coinvolgimento di tale figura nelle decisioni aziendali. Ad avviso di chi scrive l’importanza di strong e soft skill si equivale.
Ma anche sul fronte della gestione del data breach occorre avere le idee chiare sia sulla rilevazione degli eventi, che sulla loro classificazione rispetto all’obbligo di comunicazione. Questo è, ad esempio, uno dei temi che può condizionare i rapporti con i fornitori dei sistemi informativi che i CIO (Chief Information Officer) devono preventivamente esaminare. Si pensi al caso di servizi cloud dove l’onere di comunicazione entro 72 ore dalla violazione riguarda il titolare del trattamento; se contrattualmente non vengono stabiliti termini temporali che consentano di ricevere la comunicazione con ampio anticipo rispetto alle suddette 72 ore, il Titolare rischia di trovarsi in una situazione delicata rispetto alla violazione dei termini temporali di comunicazione all’Autorità di controllo e questo proprio perché fin dalla stipula contrattuale non ha previsto una simile ipotesi. Quanto detto, inoltre, evidenza in modo chiaro come i fornitori dei sistemi informativi, dovendo andare a traslare contrattualmente tutti quegli aspetti pratici e tecnici che riguardano la gestione della GDPR sul fronte informatico, siano tenuti a dialogare ampiamente con l’ufficio legale o con chi, comunque, gestisce gli aspetti legali.
In ultimo, ma non certamente in ordine importanza, è stato affrontato il noto tema del trasferimento dei dati all’estero ricordando l’importanza delle BCR (Binding Corporate Rules) e degli aspetti contrattualistici. Soprattutto in riferimento a questi ultimi un acceso dibattito ha riguardato il rapporto tra le attività di audit del controller sugli outsourcer dotati di certificazioni in materia di sicurezza informatica.
In giornate molto dense di argomenti e figure di rilievo del settore, a Berlino è stata data una lettura poliedrica e internazionale della GDPR, che ha indubbiamente arricchito e fornito spunti agli uditori, e agli stessi relatori.
In collaborazione con Alessandro Cecchetti
General Manager Colin & Partners