Il tempo stringe. Per l’entrata in vigore del Gdpr, il regolamento Ue per la protezione dei dati, il 25 maggio, manca poco più un mese. E se fino a ora la questione è stata “sottovalutata” da molte aziende, oggi lo spettro di sanzioni salate e svantaggi competitivi sta facendo interessare al tema un nutrito gruppo di ritardatari, compresi coloro che speravano in una proroga ormai del tutto improbabile. Il rischio rimane più che mai quello di mettersi nelle mani sbagliate, abbagliati anche dalla prospettiva di spendere il meno possibile, mettendo la propria azienda a rischio di multe e gravi danni d’immagine. “Le aziende – spiega in un’intervista a CorCom Massimo Giuriati, vicepresidente di AssoDpo, l’associazione che riunisce i data protection officer italiani – devono affidarsi a persone che siano in grado di garantire sufficienti esperienze e competenze in materia. Io suggerisco di valutare attentamente le competenze esaminando curricula, percorsi di studio, certificazioni, attestati di corsi di formazione e referenze di altri clienti. Un consulente che costa poco ma non è competete fa correre rischi elevati alle aziende. Proprio per fare il punto della situazione AssoDpo ha organizzato per l’8 e il 9 maggio a Milano il proprio quarto congresso internazionale, con ospiti internazionali e i rappresentanti delle principali authority europee in materia di privacy: tra i keynote spekaer anche Giovanni Buttarelli, garante della protezione dei dati del Parlamento Europeo.
Giuriati, tra i temi all’ordine del giorno ci sarà la costruzione di una rete fra Data Protection Officer in Europa. Qual è l’importanza di questo network?
E’ fondamentale, il Dpo è una figura che lavora in team. I data protection officer hanno bisogno di un bagaglio di conoscenze condivise che possono aiutare nell’attività: in molte occasioni c’è bisogno di confronto, per capire insieme ad altri colleghi ciò che da soli non si riesce a vedere. La rete serve a individuare criticità che a un solo occhio, per quanto esperto, possono sfuggire. Da qui nasce l‘idea di collaborare con altre associazioni europee per mettere in comune le soluzioni.
Quanto è importante che il data protection officer sia a diretto riporto del Ceo e adeguatamente rappresentato nel board?
E’ fondamentale per aumentare la sensibilizzazione in tutta l’azienda, i vertici gerarchici devono essere coinvolti nel processo di adeguamento: se il board dell’azienda non è adeguatamente coinvolto il messaggio fa fatica a passare.
Oggi fanno più paura le sanzioni o gli investimenti necessari per mettersi in regola?
Le sanzioni hanno un chiaro effetto deterrente per chi si è già informato ed è al corrente della propria situazione. Purtroppo in Italia ci sono ancora molte aziende convinte che nella loro attività non ci sia alcun trattamento di dati di persone fisiche: sarebbe bene chiarire che questa tipologia di società oggi non esiste. E’ perdente anche l’atteggiamento di aspettare proroghe: al massimo potrebbe esserci un periodo “franco” in cui non ci saranno provvedimenti sanzionatori (vedi quanto proposto in Francia), ma solo per chi possa dimostrare di aver già iniziato il percorso di adeguamento prima del 25 maggio. La consapevolezza sta crescendo, a dimostrarlo basti il fatto che per i corsi in programma in questi giorni siamo sempre più spesso costretti a cambiare le sedi per prenderne di più capienti.
Anche se ancora oggi molte aziende vivono il passaggio del Gdpr come una seccatura…
Questa è una visione da rovesciare. Io sono dell’idea che questo genere di novità siano spesso grandi opportunità. In Italia la gran parte delle aziende sono Pmi con una struttura piramidale, che grazie al Gdpr possono affrontare una riorganizzazione dei processi, anche complessa, ma all’insegna dell’efficienza, che consente di allineare criticità organizzative.
Qual è la sfida per L’Italia a poche settimane dall’entrata in vigore del Gdpr?
E’ quella di rendersi conto che bisogna affrontare un passaggio epocale, che non riguarda soltanto l’adeguamento normativo rappresentato da un adempimento documentale, ma un processo che interviene sull’intera organizzazione aziendale. Una società che ha adottato una chiara politica di protezione dei dati può fare di questo aspetto un chiaro vantaggio competitivo. Pensiamo per esempio al danno che potrebbe avere un azienda, a causa di un data breach; dover comunicare ai propri clienti/utenti che i loro dati sono andati perduti: il danno reputazione sarebbe ingente.
Quale ruolo si ritaglia la formazione in questo contesto?
Un percorso formativo efficace è indispensabile, e proprio in questa direzione va la norma Uni, che individua i quattro profili per i professionisti della protezione dei dati: Privacy Specialist, Valutatore Privacy, Manager Privacy e Dpo. Il Garante italiano ha espresso con chiarezza il principio che non esiste un’abilitazione per queste figure, ma rimane chiaro che le certificazioni di competenze fatte da enti terzi indipendenti, attraverso un esame complesso, possono essere importanti per stabilire e valutare le competenze in questo settore.
I ritardatari sono ancora molti. Quali dovrebbero essere i primi adempimenti per loro?
Dovranno scegliere un consulente esterno specializzato se non c’è una figura interna che abbia le competenze giuste. E procedere in tempi rapidi a un check-up che comprenda una gap analysis, successivamente predisporre la redazione di un registro dei trattamenti e la procedura per i data breach. Valutare la compliance dei sistemi informatici e dei software che si utilizzano, per capire se sono aggiornati e compliant al regolamento. Da non dimenticare anche la procedura sugli obblighi di informazione ai soggetti interessati, che preveda il diritto alla cancellazione del dato, alla modifica e alla rettifica, come tra l’altro già previsto dall’ex codice privacy, ed infine predisporre un piano di formazione e sensibilizzazione del personale.
