26 Ottobre 2017
La rivoluzione PRIVACY
Si è svolto nella cornice della sede del Touring Club d’Italia di Milano, il workshop “Privacy. Una rivoluzione che non può coglierci impreparati“, nato dalla partnership tra RES e DEDAGROUP.
L’incontro, introdotto e moderato da Gianluca Puccinelli ha permesso di analizzare le novità del nuovo regolamento privacy e del suo impatto sui sistemi aziendali, sotto più profili grazie al variegato parterre di relatori.
Nella sua introduzione Puccinelli ha evidenziato sia il contesto socio-economico nel quale si inserisce la nuova normativa, che l’impatto sui sistemi organizzativi delle imprese. Non è semplicemente l’aggiornamento di una normativa – ha proseguito Puccinelli – ma l’istituzione di una vera e propria funzione aziendale che ridisegna significativamente organigramma e sistemi di governance.
La lettura istituzionale delle nuove norme è stata affidata al dott. Riccardo Acciai, dirigente dell’Ufficio del Garante della Privacy il quale con il suo intervento ha offerto una ricostruzione sistematica dell’evoluzione e della ratio della normativa, analizzando la tecnica ad oggi utilizzata dal legislatore italiano e le questioni ancora aperte in merito. Prima fra tutte l’opportunità di far sopravvivere al Regolamento, tutti gli atti paragiuridici e di fonte secondaria che sino ad oggi hanno disciplinato il tema della privacy al fianco del Codice.
Interessante il focus sull’accountability e sull’impianto ispirato ai sistemi di common law e dunque le conseguenze in tema di onere organizzativo e dimostrativo per il titolare del trattamento che risulta maggiormente gravato di responsabilità. Altro approfondimento ha riguardato il DPO nella sua doppia veste di motore aziendale della corretta applicazione del Regolamento, e link con l’esterno e le autorità.
Nel concludere l’intervento, il Dott. Acciai ha richiamato la ricostruzione giurisprudenziale del regime di responsabilità applicabile al trattamento della privacy tradizionalmente inquadrato nell’art.2050, norma che nel disciplinare le attività pericolose la dice lunga sull’impatto del Regolamento Europeo, per il quale, ha concluso Acciai, sono da escludere rinvii o proroghe per l’entrata in vigore.
L’avv. Cristiano Iurilli ha approfondito gli aspetti normativi ed operativi disegnando un interessante confronto con l’attuale set di adempimenti in materia di antiriciclaggio al fine di richiamarne le logiche ed i meccanismi di funzionamento. Ha altresì richiamato l’attenzione di quanti sono soliti “relegare” il problema della privacy al trattamento dei soli dati relativi a persone fisiche, trascurando i presidi nel caso di clientela imprenditoriale. Le argomentazioni sono state arricchite dal richiamo alla giurisprudenza dell’ABF e al concetto di “coscienza sociale” dell’impresa e dunque all’opportunità di valorizzare i presidi in materia di privacy quale che sia la tipologia di cliente. Altro tema ha riguardato la cancellazione dei dati relativi a rapporti contrattuali conclusisi nonché alla questione delle regole di ingaggio nel caso di contitolarità di trattamento del dato. In conclusione si è fatto cenno alle problematiche legate alla DPIA illustrate anche alla luce dei sistemi di autovalutazione del rischio residuo antiriciclaggio.
Dalla teoria della norma siamo passati alla pratica dell’operatività con l’intervento di Hermes Mazzucco di Dedagroup che ci ha illustrato la soluzione tecnologica basata su un framework GDPR che consente di verificare se la gestione del dato è conferme alla normativa. Mazzucco ci ha condotto per mano in un’affascinante riflessione di come il trattamento dei dati in azienda sia come un iceberg di cui si ha consapevolezza solo della parte emersa; per questo gli interventi per essere compliant con la normativa sono talmente tanti che l’intervallo di tempo che ci separa dall’entrata in vigore è veramente poco.
L’ultimo intervento prima della tavola rotonda ha visto protagonista Massimo Giuriati, vice presidente di Asso Dpo che ha inquadrato la figura del Data Protection Officer non tanto come una persona ma come una vera e propria funzione, indipendente, composta da più professionalità con competenze diverse. Il DPO ha una sua struttura, ha budget, non è “quello che sa della privacy” ma è un ufficio composto da persone preparate, capaci di guidare l’organizzazione nel rispetto delle norme.
Il DPO non può essere il Responsabile IT né il Responsabile HR per evidenti problemi di conflitto di interessi: ma quello che è sembrato essere un concetto così lapalissiano sembra che in realtà non sia ancora così chiaro nelle aziende che rischiano di sottovalutare l’importanza del DPO.
È seguita una tavola rotonda a cui si è aggiunto – oltre ai relatori precedenti – Emanuele Seu di Dedagroup in cui i presenti hanno avuto la possibilità di fare domande, sciogliere dubbi e incertezze interagendo direttamente con tutti i relatori.
DEL WORKSHOP…