{"id":2332,"date":"2017-01-25T18:48:48","date_gmt":"2017-01-25T17:48:48","guid":{"rendered":"https:\/\/blog.europrivacy.org\/?p=2332"},"modified":"2017-01-25T18:48:48","modified_gmt":"2017-01-25T17:48:48","slug":"a-sustainable-and-effective-privacy-for-smes","status":"publish","type":"post","link":"https:\/\/blog.europrivacy.info\/it\/2017\/01\/25\/a-sustainable-and-effective-privacy-for-smes\/","title":{"rendered":"Per le PMI una Privacy &#8220;sostenibile ed efficace&#8221;"},"content":{"rendered":"<p>Fra gli interventi al convegno sul GDPR tenuto al Polimi il 17\/1(di cui ho riferito\u00a0<a href=\"https:\/\/blog.europrivacy.org\/it\/2017\/01\/20\/gdpr-guest-star-at-politecnico-university\/\">QUI<\/a>), ho trovato particolarmente illuminante quello di Sergio Fumagalli (Coordinator di Europrivacy), dedicato all&#8217;impatto del GDPR sulle PMI. Il ragionamento ha preso le mosse dalla necessit\u00e0 di contestualizzare l&#8217;applicazione della normativa al &#8220;paese reale&#8221;, che in Italia \u00e8 costituito da oltre 4 milioni di imprese, delle quali il 90% ha meno di 9 addetti e solo l&#8217;1% ha pi\u00f9 di 50 addetti. Pensare ad una Data Protection adatta solo alle grandi imprese significherebbe quindi, almeno in Italia, lasciar fuori la quasi totalit\u00e0 del tessuto produttivo. E se qualcuno pensa che in fondo questo potrebbe non essere un problema (in fondo \u00e8 sempre stato cos\u00ec e lo \u00e8 anche per altri ambiti normativi&#8230;) bisogna aver bene presente che la sicurezza dei dati non \u00e8 un tema che pu\u00f2 essere trattato a compartimenti stagni ma che invece funziona per vasi comunicanti. La case history presentata (la violazione dei dati del grande retailer americano Target, avvenuta attraverso l&#8217;attacco ad un suo piccolo fornitore regionale) dimostra che il problema della sicurezza dei dati non \u00e8 delle singole aziende ma \u00e8\u00a0<u>di sistema<\/u>\u00a0e non pu\u00f2 essere approcciato singolarmente dalle aziende pensando di poter ignorare le interrelazioni con il contesto.<\/p>\n<p>La vulnerabilit\u00e0 delle PMI rende quindi pervasive le minacce, attraverso la complessit\u00e0 delle catene di fornitura e il ricorso ai servizi cloud, che fanno in modo che i dati aziendali siano\u00a0<em>ovunque<\/em>. Le imprese si trovano allora fra il martello (proteggere i dati \u00e8 complesso e molto oneroso) e l&#8217;incudine (non proteggere i dati \u00e8 molto rischioso, sia per la possibilit\u00e0 di sottrazione che per l&#8217;incombenza delle sanzioni). L&#8217;adozione di strumenti sofisticati come la PIA comporta il pre-requisito di una cultura organizzativa aziendale spesso assente, pi\u00f9 difficile da procurare di quanto lo sia reperire i finanziamenti necessari per coprire i costi di implementazione delle misure.<\/p>\n<p>Per avere speranza di essere applicabile, la Privacy deve quindi offrire al mercato soluzioni &#8220;sostenibili ed efficaci&#8221;. In questa direzione Fumagalli ha identificato nel GDPR due strumenti che potrebbero prestarsi allo scopo: i Codici di Condotta ed il ricorso ad un DPO Condiviso.<\/p>\n<p>Per i CODICI DI CONDOTTA lo schema di adozione prevede passaggi successivi in carico alle Associazioni di Categoria (che redigono i codici), al Garante (che li approva) ed alle aziende\/enti (che aderiscono). E&#8217; contemplato anche il ruolo degli Enti di Certificazione (che verificano l&#8217;applicazione). Particolarmente importante nella fase iniziale il ruolo delle Associazioni, storicamente rilevanti nello scenario economico italiano estremamente frammentato, ma che stanno conoscendo una crisi di rappresentanza in questa epoca caratterizzata dalla disintermediazione. Essere capaci di proporre ai propri associati la semplificazione attraverso i Codici potrebbe rappresentare per loro una opportunit\u00e0 di recupero di protagonismo.<\/p>\n<p>E&#8217; probabile che i Codici di Condotta saranno prevalentemente &#8220;verticali&#8221;, legati cio\u00e8 specificamente ad un mercato o ad una tipologia produttiva come prevede lo stesso GDPR all&#8217;art. 40 (che istituisce i Codici): &#8220;in funzione delle specificit\u00e0 dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese&#8221;. Possibili esempi sono le agenzie assicurative distribuite sul territorio, che presentano omogeneit\u00e0 nelle tipologie di trattamento e nei rapporti con la casa-madre, oppure le agenzie di piccole banche. [NdR: non mi sentirei peraltro di escludere la validit\u00e0 e l&#8217;efficacia di Codici &#8220;orizzontali&#8221;, come quello sulle clausole Privacy da inserire nei contratti Cloud, che potrebbe emergere dai lavori in corso in ambito CSA e che ambirebbe ad essere riconosciuto a livello europeo].<\/p>\n<p>Cosa ci potr\u00e0 essere dentro il perimetro dei Codici di Condotta? &#8220;praticamente TUTTO&#8221;. Saranno documenti concreti, che conterranno istruzioni mirate e potranno costituire anche un&#8217;opportunit\u00e0 per ricevere l&#8217;attenzione del Garante su istanze altrimenti polverizzate. L&#8217;interesse del Titolare all&#8217;adesione star\u00e0\u00a0nel\u00a0costo (che sar\u00e0 condiviso), nel\u00a0beneficio in termini di\u00a0qualit\u00e0 (che la singola PMI non sarebbe in grado di esprimere) e di riduzione del rischio delle sanzioni.<\/p>\n<p>Dopo aver ridotto la complessit\u00e0 degli adempimenti attraverso l&#8217;adozione dei Codici di Condotta, entra in gioco un ruolo fondamentale per l&#8217;applicazione e dei Codici: il DPO CONDIVISO fra PMI. Il paragrafo 4 dell&#8217;art. 37 del GDPR prevede che, nei casi in cui NON \u00e8 obbligatorio nominare un DPO, un Titolare o &#8220;associazioni e altri organismi rappresentanti le categorie di titolari&#8221; possono nominare un DPO, che potr\u00e0 &#8220;agire per dette associazioni e altri organismi rappresentanti i titolari o i responsabili&#8221;: insomma, da onere ad opportunit\u00e0.<\/p>\n<p>Anche in questo passaggio dovranno giocare un ruolo fondamentale le Associazioni di Categoria, possibilmente le stesse che avranno promosso i Codici di Condotta e che incentiveranno i propri associati ad aderire ai codici ed alla nomina condivisa di un DPO per rendere efficace la loro applicazione.<\/p>\n<p>In conclusione: l&#8217;adozione di queste due buone pratiche potrebbe aprire alla Protezione Dati\u00a0una dimensione di mercato pari ad 1 milione di imprese ed alleviare il problema della mancanza di Sicurezza generata dall&#8217;inerzia forzata dei piccoli soggetti. [NdR: analogo ragionamento potrebbe essere esteso alla PA per quanto attiene ai piccoli comuni, per i quali peraltro vige l&#8217;obbligo di nomina del DPO]. \u00a0Il relatore stesso ha riconosciuto che con ogni probabilit\u00e0 il legislatore non aveva esattamente in mente il ricorso combinato a questi due strumenti con finalit\u00e0 di avvicinamento delle PMI ad un mondo altrimenti per loro distante; tuttavia agli sforzi del legislatore (giunti a conclusione dopo un iter lungo e faticoso) deve seguire l&#8217;impegno della societ\u00e0 civile nelle sue diverse articolazioni, per dare concretezza al dettato normativo. E&#8217; la direzione in cui si muove questa proposta, che speriamo possa avere nei prossimi mesi diffusione e generare un dibattito che conduca ad un riscontro da parte degli interessati.<\/p>","protected":false},"excerpt":{"rendered":"<p>Fra gli interventi al convegno sul GDPR tenuto al Polimi il 17\/1(di cui ho riferito\u00a0QUI), ho trovato particolarmente illuminante quello di Sergio Fumagalli (Coordinator di Europrivacy), dedicato all&#8217;impatto del GDPR sulle PMI. Il ragionamento ha preso le mosse dalla necessit\u00e0 di contestualizzare l&#8217;applicazione della normativa al &#8220;paese reale&#8221;, che in Italia \u00e8 costituito da oltre\u2026 <span class=\"read-more\"><a href=\"https:\/\/blog.europrivacy.info\/it\/2017\/01\/25\/a-sustainable-and-effective-privacy-for-smes\/\">Leggi tutto &raquo;<\/a><\/span><\/p>\n","protected":false},"author":64,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[233,4],"tags":[296,298,295,293,297,294],"class_list":["post-2332","post","type-post","status-publish","format-standard","hentry","category-codes-of-conduct-and-certification","category-data-protection-officer","tag-associazioni-di-categoria","tag-business-associations","tag-dpo-condiviso","tag-pmi","tag-shared-dpo","tag-sme"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2332","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/64"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=2332"}],"version-history":[{"count":2,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2332\/revisions"}],"predecessor-version":[{"id":2334,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2332\/revisions\/2334"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=2332"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=2332"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=2332"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}