Cosa vuol dire concretamente adeguarsi al Gdpr? Il nuovo regolamento europeo sulla privacy (General Data Protection Regulation, Reg. UE 2016/679) verrà applicato in Italia il 25 maggio 2018, ma molte aziende sembrano considerare quella data un traguardo ancora lontano. Soprattutto perché sono in ritardo le linee guida del WP29 che dovrebbero indicare come rispondere agli adempimenti. Naturalmente la questione varia da impresa a impresa, con i primi importanti distinguo sanciti dall’appartenenza al settore pubblico o a quello privato, dalle dimensioni organizzative e dal respiro più o meno internazionale del business. Una sola cosa, al momento, accomuna queste realtà, ed è purtroppo la generale scarsa preparazione a un salto evolutivo che è inevitabile e sempre più vicino.
In particolar modo bisogna fare i conti con la declinazione del Gdpr sui temi che interessano il diritto del lavoro. “L’articolo 88 del Regolamento stabilisce che i singoli legislatori potranno prevedere discipline nazionali al riguardo, e rispetto alla raccolta e al trattamento dei dati generati per esempio dagli strumenti diretti e indiretti di monitoraggio dei lavoratori, come il Gps dei veicoli aziendali e la videosorveglianza, siamo di fronte a una questione piuttosto ostica. Non solo per le imprese ma anche per chi come noi le accompagna lungo il percorso della compliance al Gdpr attraverso la consulenza”. A parlare è Matteo Colombo, amministratore delegato di Labor Project, realtà specializzata per l’appunto nell’assistenza e nella formazione sui temi della privacy e della compliance normativa, nonché Presidente di AssoDpo, l’associazione nazionale che tutela e promuove la professione del Data Protection Officer, una figura che diventerà cruciale alla luce dei requisiti introdotti col GDPR.
A seconda del tipo di organizzazione e delle esigenze sul piano internazionale, il Dpo agirà all’interno e all’esterno dell’azienda coordinando una task force che dovrà occuparsi del trattamento dei dati a 360 gradi oltre che dell’eventuale integrazione delle varianti della disciplina da Paese a Paese, affiancando il top management sul piano legale, su quello tecnologico e su quello strategico. “È quindi essenziale investire sul fronte gestionale: che sia una risorsa interna o un consulente esterno, per svolgere correttamente la propria funzione il Dpo dovrebbe essere affiancato da un team costituito da rappresentanti della divisione Hr, del Marketing, dall’IT manager e da chi si occupa della compliance”.
Colombo cita l’eventualità – ormai tutto fuorché fortuita – di un data breach. “Nel momento in cui si verifica un tentativo di intrusione nel database, il Dpo non deve solo essere in grado di verificare la validità delle misure di sicurezza, ma deve anche riuscire a valutare la situazione, di concerto con il resto del team, per stabilire se e come si ricada nell’obbligo di comunicare l’accaduto all’autorità Garante Privacy di riferimento, agli interessati, all’azienda, agli stakeholder o alla stampa e al mercato”. Quindi occorrono pure competenze nell’ambito comunicazionale, con particolare riferimento alla gestione delle situazioni di crisi. “Purtroppo in Italia, sotto questo profilo, le imprese sono poco preparate. E nonostante siano sempre più attente al fenomeno della digital transformation, anche a causa di organizzazioni spesso destrutturate non c’è ancora sufficiente consapevolezza in tal senso. Fatta eccezione per alcuni gruppi, tipicamente appartenenti a settori come Tlc, bancario e assicurativo, che dispongono di strutture ormai collaudate per rispondere a questa esigenza, nel nostro Paese mancano la cultura della difesa del dato e la convinzione che il dato è un asset – fondamentale – dell’azienda”.
Basti pensare alle operazioni, sempre più frequenti, di acquisizione o cessione di database. “Se il database è genuino, ha un preciso valore economico”, precisa Colombo, che viene spesso chiamato da grandi aziende a valutare investimenti in società all digital. “Se il database non è correttamente formato con informative e consensi privacy idonei, potrebbe non valere nulla o richiedere ulteriori risorse per essere perfezionato. Sono questioni che ancora sfuggono per esempio anche ai notai e ai commercialisti: eppure nel momento in cui un’azienda acquista un terreno, vengono valutati elementi come l’eventuale presenza di atti amministrativi o di agenti inquinanti, per cui sono messi allo studio i costi di analisi e contromisure. Perché questo non accade sui database? È qui che deve cambiare la mentalità!”.
C’è poi naturalmente il discorso legato all’indispensabile cultura (e dotazione) tecnologica di cui devono munirsi le imprese. Anche se il Cloud ha reso accessibili molte applicazioni in grado di garantire, lavorando in maniera integrata e complementare, un apporto essenziale per gestire la data protection, è necessario pure avviare periodicamente processi di vulnerability assessment, che aiutino a tenere il polso della situazione rispetto all’incessante evoluzione degli attacchi informatici e dei malware. “Specialmente nelle Pmi, le risorse IT interne non sono adeguate a sostenere questo ruolo”, spiega Colombo. “Se fino a poco tempo fa backup, firewall e autorizzazioni all’accesso ai sistemi e ai dati rappresentavano i pilastri di un approccio alla sicurezza soddisfacente, oggi sono il minimo sindacale. Servono professionalità e tecnologie al passo coi tempi, e vanno valutate caso per caso in base alle specifiche esigenze dell’organizzazione. Anche questo rientra nei nuovi compiti del Dpo, che però pur dovendo offrire una consulenza multidisciplinare con un ruolo di coordinamento non può essere un tuttologo”, precisa l’a.d. di Labor Project. “Per questo noi abbiamo deciso di costruire partnership con società che si occupano di consulenza IT e Security informatica in maniera peculiare. Rispetto alla parte più tecnologica non vogliamo né possiamo metterci in concorrenza con chi ha una conoscenza approfondita dei processi digitali, e soprattutto pensiamo che per affrontare la complessità che le attende, le aziende debbano accedere alle competenze migliori tra quelle disponibili sul mercato”.
@RIPRODUZIONE RISERVATA