“Il Gdpr non è un elefante in una cristalleria, è una galassia di strumenti studiati per garantire la libertà degli individui e che, ne sono sicuro, faranno scuola a livello planetario”. L’ha detto Giovanni Buttarelli, Garante Europeo della Protezione dei Dati Personali, in uno degli interventi di punta della quarta edizione del Congresso Internazionale di AssoDPO, l’associazione dei Data Protection Officer italiani.
Quest’anno l’evento (di scena a Milano ieri e l’altro ieri con un’agenda fittissima) ha avuto una triplice valenza: innanzitutto, il convegno ha sancito l’imminente salto del Regolamento comunitario, che il 25 maggio diverrà esecutivo; in secondo luogo ha celebrato l’ingresso di AssoDPO in Cedpo, la federazione europea delle associazioni omologhe, ponendo le basi per l’effettiva creazione di un network interculturale e multidisciplinare di competenze. L’evento ha offerto poi naturalmente un’arena estremamente vasta per discutere del ruolo del Data Protection Officer nel nuovo scenario, con professionisti, esponenti aziendali e rappresentanti di istituzioni e organi di garanzia pronti a condividere esperienze, best practice e raccomandazioni.
Un paradigma completamente nuovo
“A Bruxelles è tutto pronto”, ha ribadito Buttarelli, “si sta lavorando per costituire lo European Data Protection Board, che sostituirà il gruppo di lavoro Article 29, non limitandosi a esserne un successore in funzione consultiva, ma diventando un vero e proprio organismo decisionale. Ci sarà un salto di qualità nella comunicazione: intendiamo rendere la vita più facile a chi vuole capire cosa fanno i controllori a Bruxelles in un’ottica di reale collaborazione tra il Garante e i soggetti pubblici e privati interessati dal Gdpr, cercando di essere il più vicino possibile alla comunità internazionale”. Buttarelli ha circoscritto il proprio intervento al ruolo che gli compete in ambito comunitario, ma rispetto all’Italia ha puntualizzato che il principio dell’accountability non è decollato come dovuto. E rispetto all’adeguamento della normativa nazionale, “mi preme che il nostro Paese sia nel gruppo dei 14-15 Stati membri che riusciranno a tagliare il traguardo prima del 25 maggio. Perché riscrivere tutte le norme se alcune sono già in linea con il GDPR? Il decreto legislativo sulla privacy ha ancora molto da dire”.
Di accountability, attività ispettiva e di nuovi paradigmi imposti dal Regolamento europeo ha parlato anche Marco Menegazzo, Comandante del Nucleo Speciale Privacy della Guardia di Finanza. “Fino a poco fa imprese e istituzioni che trattavano i dati dei cittadini vivevano di check-list e compliance indotte: l’Autorità indicava gli adempimenti e le organizzazioni li rispettavano. Ora il concetto chiave è che il titolare è direttamente responsabile del trattamento e deve essere in grado non solo di dimostrare ciò che è stato fatto per rispettare il Gdpr, ma anche spiegare cosa non è stato fatto e perché. In un certo senso, il Dpo diventa un organo di vigilanza interno che ha il compito di svolgere regolari iniziative di audit a stretto contatto con il Legal, l’IT e le HR, così da poter conoscere approfonditamente la situazione interna e rispondere in modo completo all’Autorità in caso di ispezioni”.
A cavallo di management e attenzione alla forma
Proprio quello che sta facendo Stefania Tonutti, IT, Cybersecurity e Privacy expert di Danieli & C. Officine Meccaniche. “L’interdisciplinarietà è indispensabile per mettere insieme un’unica testa che ragioni e lavori per tutti, creando awareness e consapevolezza a partire dalla dirigenza. Anche se mi sto rendendo conto che quando si tratta di trattamento dei dati sarebbe meglio parlare di un organismo bicefalo, vista l’assoluta importanza del supporto del team IT”.
D’altra parte, Anna Pouliou, Head of Privacy in Chanel, non ha usato mezzi termini nel dire che rispetto a tre anni fa il ruolo del Dpo è cambiato in maniera drammatica. “Oggi è l’architetto di tutta la conformità rispetto ai temi della privacy, e in tal senso si occupa di disegnare una vera e propria strategia”. E questo vale anche nel settore pubblico, come ha testimoniato Raffaele Provolo, responsabile Unità Privacy Comune di Milano, che con AssoDPO coordina un tavolo di lavoro specifico per le best practice da adottare nella PA.
Non di solo management e strategia si è parlato, ma anche di forma: Giuseppe Cannella, Avvocato dello Studio Legale Associato LCG, si è soffermato in particolare sulle clausole contrattuali che stabiliscono il perimetro delle responsabilità di un Dpo, che non può e non deve accettare una delega in bianco, mentre Fabio Ferrara, Vice presidente del Comitato Scientifico AssoDPO e membro dello Studio Arnaboldi, ha precisato che quella del registro dei trattamenti è una tematica fluida. “Si tratta di uno strumento che permette sia al titolare sia alle autorità, nell’ordinaria amministrazione come in fase ispettiva, di evidenziare il percorso svolto rispetto alla Data Protection. Per questo, anche se il registro è obbligatorio solo per le organizzazioni con più di 250 dipendenti (al netto di ulteriori vincoli, come il fatto che il trattamento possa presentare un rischio per i diritti e le libertà dell’interessato, non sia occasionale o includa categorie particolari di dati personali relativi per esempio a condanne penali e reati), adottarlo e utilizzarlo rappresenta sempre e comunque un’opportunità”.
Associazioni e garanti a confronto: la sfida è internazionale
Per comprendere la portata di un cambiamento epocale, e il fatto che si tratta davvero di una trasformazione che può avvenire solo unendo le forze al di là degli interessi nazionali, è sufficiente citare il parterre di rappresentanti delle associazioni che hanno preso parte al congresso di AssoDPO: Pascale Gelly di AFCDP (Francia), Ernst O. Wilhelm di GDD (Germania), Caroline Olstedt Carlstrom del Data Protection Forum svedese, Cecilia Alvarez di APEP (Spagna), Hans Zeger di Arge Daten (Austria), John Baines della britannica NADPO, Henrique Necho di ANDPO (Portogallo) e infine Paul Jordan della IAPP (International Association of Privacy Professionals).
A prescindere dalle prospettive adottate durante le diverse relazioni, tutti gli esperti sono stati concordi che la sfida del Gdpr può essere vinta solo armonizzando la conoscenza reciproca e rafforzando l’architettura internazionale dell’associazionismo. Una coerenza che risulterà indispensabile anche per istituire forme realmente efficaci di comunicazione e collaborazione con le autorità garanti dei singoli Paesi. Da Albine Vincent, del CNIL francese, a Sandra Liu, Senior Legal Counsel of Privacy Commissioner di Hong Kong, passando per Spyridon Vlachopoulos, membro dell’Autorità Garante greca e Dale Sunderland, Deputy Commissioner in Irlanda, il messaggio è arrivato forte e chiaro: specialmente nei primi tempi e in attesa di sentenze che chiarifichino e mettano a sistema gli elementi più complessi del Regolamento, lo scambio continuo tra professionisti della privacy e Autorità costituirà il fulcro della comprensione e quindi della corretta applicazione del Gdpr, come ha evidenziato soprattutto Licia Califano, della Data Protection Authority italiana.
Digitale e cyber security: l’altra faccia della medaglia di un processo integrato e inarrestabile
Durante il convegno ampio spazio è stato dedicato anche alla componente tecnologica. Intesa sia come insieme di architetture e soluzioni su cui innestare le nuove policy per il trattamento dei dati, sia come strumenti innovativi per aiutare i Dpo a gestire più facilmente i propri compiti. Tra gli sponsor del congresso di AssoDPO c’erano per esempio Panda Security e Beprivacy, che hanno presentato due suite sviluppate su misura a partire dai requisiti del Gdpr. Gli analytics sono la risposta migliore a chi necessita di visibilità sui processi, sui dati e sulla loro rilevanza ai fini della tutela della privacy, a tutto vantaggio del risk assessment. Raffaele Regni di Infracom Italia ha invece ribadito le nuove responsabilità dei provider di servizi in cloud, per i quali il Regolamento rappresenta una rivoluzione copernicana specialmente sotto il profilo della Cyber security.
“La verità è che il Gdpr è una sfida per tutti: informatici, legali, esperti di privacy. Ma nessuno può più permettersi di ragionare a compartimenti stagni”, ha chiosato Matteo Colombo, presidente di AssoDPO. “E ancora più importante è ricordare che il 25 maggio non è un traguardo, ma un punto di partenza. È il 25 maggio che comincia tutto, che prende il via un processo in divenire che una volta messo in moto andrà avanti per sempre. Le aziende devono comprendere questo, e noi dobbiamo aiutarle a capire e ad agire”.
