“Per gli amici si chiama GDPR”era il titolo della conferenza che Europrivacy ha tenuto al Security Summit, organizzato come ogni anno dal Clusit. Dopo l’introduzione di Alessandro Vallega hanno preso la parola Jonathan Brera di KPMG, Andrea Gaglietto di Protiviti e Andrea Reghellin di P4I. Alla tavola rotonda che ha seguito le presentazioni hanno partecipato anche Stefano Tagliabue di Telecom, Giancarlo Butti del Banco Popolare e Angelo Bosis di Oracle.
Brera ha illustrato una delle principali novità del GDPR: la gestione dei DATA BREACH. Anche se negli artt. 31-32 del Regolamento l’enfasi è sulle comunicazioni da dare in caso si verifichi l’evento, non bisogna attrezzarsi solo per reagire ad eventuali eventi ma anche mettere in campo azioni preventive. L’adozione di misure adeguate basate sull’analisi del rischio, come ad esempio la crittografia, può anche esimere il Data Controller dalla comunicazione agli interessati.
Gaglietto ha invece analizzato il concetto di DATA PROTECTION BY DESIGN, segnalando come vadano prese in considerazione non solo misure tecnologiche ma anche organizzative, come ad esempio: modello organizzativo privacy (policy e procedure); accurata redazione dei contratti, delle informative e delle nomine; investimento in training ed awareness dei collaboratori. Fra le misure tecnologiche ha ricordato inoltre l’importanza della disciplina dell’Identity & Access Management.
Riferisco con maggior dettaglio dell’intervento di Reghellin, dato il grande interesse che riveste per me il tema “Ruoli e Responsabilità”.
Mi è piaciuta molto la sua presa di posizione, chiara e netta, rispetto alla natura ed alla collocazione in organigramma della figura del DPO: il relatore ha affermato inequivocabilmente che si tratta di una figura “di garanzia”, nettamente distinta da figure operative (non normate dal GDPR ma comunque esistenti de facto) che siamo abituati a chiamare “Privacy Officer” e che sono preposte alla realizzazione sul campo degli adempimenti previsti dalla normativa. Il DPO invece deve “informare, consigliare, sorvegliare e … fornire parere sulla PIA se richiesto”. Come ho già avuto modo di notare in un mio precedente intervento (“Ruolo del DPO”) la penso esattamente così anche io; non mi sfugge tuttavia che ci sono altre scuole di pensiero, orientate a considerare come coincidenti le due figure (anche se ciò condurrebbe alla discutibile situazione di un sorvegliante che sorveglia il proprio stesso operato) e che probabilmente saranno poche le aziende che gradiranno di dover duplicare le posizioni in organigramma.
Ho trovato molto lucida anche l’analisi della figura del DATA PROCESSOR. Nel caso in cui lo stesso si configuri come PERSONA GIURIDICA, quindi essenzialmente un outsourcer, l’attuale lettera di nomina, che ahimè oggi viene spesso rifiutata dal fornitore (soprattutto se di dimensioni e forza contrattuale superiori a quelle del cliente) sarà brillantemente sostituita da un contratto. Grazie a questo documento, certamente più vincolante di una semplice nomina, sarà anche possibile estendere la catena delle responsabilità (e delle sanzioni) a tutta la filiera del trattamento.
Anche nel caso di un PROCESSOR, che sia PERSONA FISICA ma con collocazione apicale all’interno dell’azienda (qualcosa di paragonabile agli attuali Responsabili interni) il documento su cui si basa la relazione con il Controller sarà una delega o altro atto giuridico, il che ancora una volta consentirà di condividere le responsabilità e le sanzioni, a patto che le istruzioni impartite al Processor siano sufficientemente dettagliate e che vengano dallo stesso disattese.
Ma cosa succede invece nel caso di un PROCESSOR PERSONA FISICA con ruolo meramente operativo? Questa figura, da me analizzata in un altro intervento (“Il Data Handler, questo sconosciuto”) è in verità stata ignorata dalla relazione di Reghellin.
Risulta evidente che lo strumento delega non sia applicabile a queste figure, ma allora come si procede nei loro confronti? A questa domanda, da me posta nel dibattito, Reghellin ha dato una risposta chiara ma a mio modesto parere anche alquanto sorprendente: l’attuale nomina ad incaricato per le figure di livello operativo semplicemente sparisce e non è sostituita da nulla; peraltro tale nomina sarebbe già oggi sostanzialmente inutile…
Dunque: è pur vero che il GDPR nemmeno cita queste figure se non indirettamente, né men che meno prevede per loro un equivalente della vecchia nomina ad incaricato; è anche vero, come il relatore ha voluto sottolineare, che è bene attenersi al testo delle norme, per cui se la nomina non è prevista, allora non esiste. Tuttavia, per assicurarsi che il trattamento avvenga in applicazione delle norme vigenti, il Controller dovrà pur fornire agli addetti di livello operativo le opportune istruzioni: e a che titolo tali istruzioni sarebbero impartite, se non precedute da un qualche inquadramento dell’addetto nell’organigramma privacy dell’azienda? Sostenere che la figura del “data handler” non esiste in quanto formalmente non prevista, e che quindi non sia necessaria alcuna nomina, equivarrebbe a ragionare come quelle aziende che hanno cessato la redazione del DPS quando il decreto di semplificazione lo ha tolto dalle misure minime di sicurezza: applicando alla lettera la normativa hanno certamente agito in modo impeccabile, ma forse bisognerebbe a volte considerare anche punti di vista più pragmatici. Credo che il tema meriti qualche ulteriore riflessione in vista della definizione di best practice operative.