Il 15 marzo u.s., all’interno della tre giorni di Security Summit del Clusit, si è tenuto, in una gremita sala dell’Atahotel Expo Fiera di Rho-Pero, l’incontro dal titolo “Praticamente GDPR” presentato e moderato dal Dr. Vallega a cui hanno partecipato, a titolo di relatori e nella formula della “tavola rotonda” oltre al presidente del Clusit alcuni esponenti di società rappresentative del panorama economico italiano.
https://www.securitysummit.it/agenda-details/58
Questo post non mira a ricapitolare l’evento quindi sul punto dirò solo e per sommi capi che l’incontro è stato strutturato su una presentazione iniziale e generale del Reg. UE 2016/679 a cui sono seguite testimonianze dirette dei relatori su come ed a che punto sia l’implementazione del GDPR all’interno delle relative società di appartenenza quindi, a seguire, è stato dedicato ampio spazio anche a testimonianze / domande dei partecipanti e tra queste una in particolare mi ha molto colpita.
Ecco, questo post nasce sull’abbrivio di quella domanda che potremmo riassumere così: “l’aspetto etico del GDPR ossia cosa si fa/ si potrebbe fare, all’interno delle società per dare risalto, a seguito del corretto adeguamento privacy, anche all’aspetto etico valoriale collegato al mondo della privacy”.
Si tratterebbe, quindi, non solo di recepire la normativa ma anche di darle un taglio che permetta di mettere in risalto ed in evidenza un’attenzione particolareggiata all’aspetto valoriale sottesa alla stessa.
La prima cosa che mi preme dire è che, in realtà, la norma in più parti pone attenzione a questo aspetto etico del tema, solo che spesso ci si occupa maggiormente dell’operatività e si tralasciano, invece, sia i motivi ispiratori che hanno portato all’emanazione di determinati articoli ad es. i “considerando” sia una lettura più attenta degli articoli, lettura non focalizzata solo sul “come / cosa fare” ma anche sul senso profondo dell’articolo stesso. Per spiegare meglio quanto sopra è sufficiente ad esempio e non casualmente leggere l’art. 45 Reg UE 679/2016 sul Trasferimento dati in territorio extra UE sulla base di una decisione di adeguatezza dove si legge: “Il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale è ammesso se la Commissione ha deciso che il paese terzo … o l’organizzazione internazionale … garantiscono un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche. Nel valutare l’adeguatezza … la Commissione prende in considerazione … i seguenti elementi: a) lo stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, la pertinente legislazione generale e settoriale (anche in materia di sicurezza pubblica, difesa, sicurezza nazionale, diritto penale e accesso delle autorità pubbliche ai dati personali), così come l’attuazione di tale legislazione, le norme in materia di protezione dei dati, le norme professionali e le misure di sicurezza, comprese le norme per il trasferimento successivo dei dati personali verso un altro paese terzo o un’altra organizzazione internazionale osservate nel paese o dall’organizzazione internazionale in questione, la giurisprudenza nonché i diritti effettivi e azionabili degli interessati e un ricorso effettivo in sede amministrativa e giudiziaria per gli interessati i cui dati personali sono oggetto di trasferimento”
In pratica è la normativa stessa che pone primariamente attenzione al rispetto dei diritti umani e delle libertà fondamentali e per dare un risalto ancora maggiore a quanto è delineato nell’articolo si demanda direttamente alla Commissione UE sia il potere di valutazione sia successivamente l’emanazione di atti di esecuzione (cfr art 45, comma 3, Reg. UE 2016/679)
Quindi una prima modalità per dare risalto ad un aspetto etico nel lavoro di adeguamento privacy nelle società potrebbe consistere nel porre in evidenza nella propria documentazione non solo le procedure ma anche la base ispiratrice delle stesse.
Ma non solo.
In realtà un bel lavoro da fare per dare realmente un taglio etico al sistema di gestione privacy e del tutto relativo alla sola realtà aziendale di pertinenza sarebbe quello di confrontare le normative e gli standard internazionali presenti nella realtà lavorativa e relativi al tema in modo da creare un sistema unico integrato.
A tal uopo sarebbe interessante comparare quanto meno normativa privacy, modello organizzativo ex D. Lgs. 231/2001 (solo in relazione ai reati di maggiore interesse sul tema come potrebbero essere quelli contro la personalità umana) e, a mio parere, S.A. 8000 ovverosia lo standard internazionale che elenca i requisiti per un comportamento eticamente corretto delle imprese e della filiera di produzione.
Dai risultati di questa attività – ovviamente da integrarsi anche con tutto il restante richiesto dal GDPR- si potrebbe avere non solo un buon tracciamento e quindi una buona mappatura dei dati (utile anche ai fini della redazione del RPA ex art 30 Reg. UE 2016/679) ma anche e soprattutto ne deriverebbe un lavoro mirante a porre maggiormente l’accento sul tema etico e morale … da qui il passo a darne evidenza ai terzi è breve … quindi, a parere della scrivente, anche la società che s’impegnasse in un’operazione di questo tipo ne trarrebbe vantaggio e sarebbe in grado di distinguersi sul mercato!
Avv. Laura Marretta
Concordo pienamente! Il tema dell’etica e della responsabilità sociale delle aziende che trattano i dati delle persone viene messo in secondo piano. E’ molto difficile costruire la consapevolezza e l’etica aziendale, perché si deve lavorare sulla coscienza delle persone e non sugli aspetti tecnici ed organizzativi. Darò sostegno a questa tematica con i prossimi post!