GDPR: uno scherzo? | Delaini & Partners

X
X

x
x


la figura professionale del DPO
La figura
x
x
x
x
x
X
x
x
x
x
X
X
X
x

Roberto Giovanni Loche

DPO & Privacy Specialist
roberto.loche@delainipartners.it
Mobile 331 2917 785
Il 25 maggio è passato da un pezzo. Poche aziende si sono datte veramente da fare per adeguarsi alle normative europee in merito alla Privacy, molte altre si sono preoccupate ... ma non hanno fatto assolutamente niente.
Ci permettiamo di tornare sull'argomento solo per ricordare che un conto sono il rispetto delle Leggi - sport poco praticato in Italia - un altro è l'interesse delle aziende a proteggere da intrusioni o peggio il loro patrimonio di informazioni.
Abbiamo rivolto alcune domande a Roberto Loche, DPO e consulente di Privacy e di progetti GDPR.


Com'è la situazione, dal punto di vista della privacy e della tutela dei dati personali, in altri paesi?

Direi molto diversa: analizziamo insieme gli USA, patria di molti giganti del web.
In partenza, l’approccio in materia di protezione dei dati personali è stato differente tra USA e Ue. Mentre gli americani consultarono esclusivamente le aziende e basarono di conseguenza la regolamentazione su una bozza preparata dall'industria , le istituzioni europee consultarono le autorità di garanzia nazionali.
Il risultato fu che la regolamentazione americana si concentra più sulla tutela degli interessi aziendali, mentre quella europea sulla tutela dei cittadini.

Negli
Usa al centro del sistema vi è l'autonomia dei privati e la libertà individuale, l'approccio è settoriale e la privacy è tutelata solo nell'ambito delle pratiche commerciali. L'Europa ha invece un approccio generalista (la privacy è tutelata indipendentemente dal settore di applicazione) e centralizzato, e la privacy è un diritto fondamentale dell'individuo.

Oggi l’Europa è considerata l'alfiere della privacy, mentre gli Stati Uniti, avendo una concezione giuridica differente, la percepiscono nei fatti come più attenuata
Nell’Ue la protezione dei dati è considerata un diritto fondamentale delle persone e la privacy è tutelata indipendentemente dal settore di applicazione , con norme uniformi in tutti e 28 gli stati membri ; negli Stati Uniti non c'è un principio unico da declinare nelle differenti aeree e quindi si applicano delle norme diverse a seconda dello specifico settore di applicazione(dal credito alla salute)
L'approccio americano è sicuramente più efficace ed adattabile ai cambiamenti tecnologici, ma l'approccio settoriale determina una moltiplicazione delle norme che rende estremamente difficile per il cittadino conoscere effettivamente i suoi diritti
La prospettiva del nuovo Regolamento Europeo (GDPR), a mio parere, porta degli innegabili vantaggi rispetto agli Stati Uniti: comunque semplifica e stabilisce una serie di paletti e meccanismi comuni a tutti i settori attraverso tutti gli stati dell'Unione.
Negli Stati Uniti è invece necessario cercare, settore per settore, quale sia la normativa che si applica e quali i precedenti giudiziari, spesso con problemi di interpretazione; questo genera un'area di incertezza relativamente a quale decisione potrebbe prendere un giudice se si dovesse andare in tribunale.


Nonostante il GDPR sia di fatto operativo dal 25 maggio 2018, ancora oggi molte aziende sono inadeguate o non pienamente a norma rispetto alle nuove regole. Quali sono gli equivoci e gli errori ricorrenti nella percezione del GDPR da parte delle aziende?

Le realtà che sono state capaci di rispondere adeguatamente agli stringenti parametri della normativa europea sono state soprattutto le grandi aziende, mentre molte piccole e medie imprese italiane non si sono adeguate al GDPR , alcune causa disinformazione ( ad es.:la proroga del Decreto per l’adeguamento della normativa nazionale inizialmente prevista per il 21 maggio e poi slittata in avanti, è stata interpretata come proroga per l’applicabilità del GDPR), altre perché hanno completamente sottovalutando il tema , senza essere ben consapevoli dei rischi

D’altronde il GDPR ha anche un forte impatto sul alcune dinamiche organizzative delle aziende e molte PMI , non avendo generalmente competenze specifiche, non sanno bene come valutare e gestire il processo di adeguamento alla nuova privacy europea.

Per molte piccole e medie imprese non si tratta di un semplice adeguamento per colmare alcune lacune, ma di un radicale cambio di approccio alla privacy che richiede l’adozione di politiche e metodologie, spesso non contemplate, che consentano di analizzare i rischi di violazione dei dati personali, di attuare le misure tecnico/organizzative atte a proteggere i dati personali, e a reagir, in caso di violazione, nei tempi e nei modo indicati dalla norma.

In alcune realtà, potrebbe porsi il problema che la necessità di apportare cambiamenti organizzativi potrebbe, al limite, anche significare che un’azienda debba posticipare o perfino rinunciare ad investire nello sviluppo di nuove tecnologie e/o nuovi prodotti, dal momento che avrà bisogno di investire risorse non programmate per adempiere alla nuova privacy.

Di conseguenza l’azienda potrebbe anche orientarsi per avere il minor impatto possibile, ma per come è stato impostato il GDPR, non si può pensare di applicare “lo stretto necessario”, in quanto, non applicando pienamente la norma, non si eliminano i rischi di sanzioni.

La protezione non adeguata dei dati aziendali, di cui i dati personali sono un subset, ha sicuramente un impatto molto significativo sulla sopravvivenza dell’azienda perché i dati sono il “vero valore” di un azienda!

E’ importante capire che intraprendere con efficacia un programma di “Compliance al GDPR” ha impatti molto rilevanti anche a tutela dell’azienda stessa e porta benefici al suo business.


Come raggiungere la “Compliance” al GDPR?

Un progetto di adeguamento al GDPR non è una azione da svolgere senza avere le idee chiare: si rischia di lavorare molto, restando ben lontani dalla Compliance al GDPR.

Se vogliamo schematizzare il processo di adeguamento al GDPR, possiamo individuare il percorso attraverso “4 passi”:

1 - Consapevolezza
Informarsi correttamente sul nuovo Regolamento Europeo, per valutare gli impatti organizzativi e tecnologici nella propria Azienda.

2 - Macro assessment
Analizzare ed evidenziare le carenze del attuale Sistema di Gestione della Privacy in uso nell’organizzazione in relazione alle linee guida del nuovo Regolamento Europeo.

3 - Il progetto
Definire le priorità di intervento e la pianificazione delle attività interne ed esterne per l'adeguamento del Sistema di Gestione Aziendale della Privacy al GDPR.

4 - La formazione
Effettuare la formazione a chi tratta i dati personali, con una intensità e profondità che variano in funzione del loro ruolo e delle responsabilità.

La compliance al GDPR tutela l'azienda e aiuta il business!


X
EVENTO DATASYS
Approfondiamo due argomenti di attualità

"La fatturazione elettronica. Senso e scopi di una rivoluzione"
Giancarla Porro

"GDPR. Un'analisi del nuovo regolamento Ue"
Roberto Loche
Giovedì 21 febbraio ore 18.30
presso DATASYS NETWORK
Viale Lunigiana, 46 - Milano

Cliccare per
Form di iscrizione
X