“Le Pmi insieme alle partite Iva sono i soggetti che dispongono delle risorse finanziarie e tecnologiche meno importanti quando si parla di implementazione del Gdpr. Pertanto, a causa di questa carenza di risorse, mi aspetto che in molti casi l’applicazione di un tool come quello che il Garante privacy sta sviluppando generi risultati di parziale o totale non conformità al Gdpr quanto a procedure organizzative e misure di sicurezza, formazione delle risorse umane. Anche se può non apparire come un vantaggio, è in realtà un bene: questo genere di strumenti, e io ho esperienza diretta di quello sviluppato dal Garante Francese, oltre ad evidenziare le carenze, danno anche suggerimenti su cosa fare per rientrare in una situazione compliant”. Lo dice in un’intervista a CorCom Giovanni Ricci, avvocato specializzato in diritto della privacy nello Studio Legale Ricci e Avvocati.
Misure di sicurezza, formazione del personale, assunzione del data protection officer: quali sono gli aspetti più problematici delle prescrizioni del Gdpr?
I 3 aspetti che lei ha menzionato pongono tutti problematiche di una certa entità alle Pmi, e sono tutti importanti. In termini strettamente concreti, una volta compresane utilità e funzione, le misure di sicurezza possono essere adottate molto rapidamente. Altrettanto vale per il Dpo: se si entra nella mentalità giusta valutare l’opportunità di dotarsene e provvedere in tal senso è qualcosa di piuttosto immediato e conseguente.
La formazione del personale, invece, comporta una applicazione costante, la messa a punto e la implementazione di procedure organizzative. Questo non si risolve con un atto di volontà ed alcune istruzioni: credo che sia l’elemento più problematico da implementare.
Come si può arrivare all’accountability richiesta dalle norme senza impelagarsi in percorsi troppo difficili da gestire?
L’accountability è il principio generale che informa e permea tutto il Gdpr. Costituisce a tutti gli effetti una vera e propria rivoluzione copernicana nel trattamento e nella tutela dei dati personali. Obbliga ad un mutamento radicale di mentalità consistente nel non chiedersi più “cosa devo fare per trattare legittimamente i dati personali e tutelarli?”, quanto piuttosto nel chiedersi “come posso applicare al meglio i principi generali del GDPR al trattamento ed alla tutela dei dati personali?”. Il modo più semplice per procedere, prescindendo da tale cambio di mentalità di chi deve ottemperare alla normativa, è dotarsi di uno strumento di autovalutazione come quello in corso di sviluppo e usarlo massivamente, possibilmente con l’aiuto di un preparato consulente legale. Dai risultati ottenuti si potrà poi partire per implementare procedure e misure di sicurezza a raggio e trama man mano crescente. Ritengo che la cosa peggiore sia il voler implementare di punto in bianco il 100% di quanto serve per essere compliant (anche perché questo 100% ideale non esiste in concreto)
Nonostante il regolamento sia in vigore da tempo, in molti non riescono ancora ad adeguarsi e per questo corrono rischi anche grandi. Che consigli si sentirebbe di dare a chi fino a oggi ha accumulato ritardo?
Il salto di qualità sarà possibile soltanto partendo dal cambio di mentalità del quale ho parlato prima che consiste nel porsi la domanda giusta, passando dal “cosa devo fare?” al “come devo comportarmi?”. Questo cambio di mentalità può essere aiutato ed accompagnato anche da consulenze esterne, che potranno aiutare la PMI a sviluppare soluzioni in modo graduale e coerente col contesto ove si trova ad intervenire. Il primo passo, secondo me, dovrebbe sempre consistere nel mettere a punto il cosiddetto “biglietto da visita” dell’imprenditore sul al trattamento dei dati personali. Si tratta del corredo documentale minimo, necessario a far comprendere che l’imprenditore ha adottato e sviluppato un approccio ed una sensibilità accountable al fine di essere compliant, e di esserlo costantemente e sempre meglio. Tale corredo documentale iniziale dovrebbe coincidere con l’aggiornamento della modulistica per l’informativa, per l’ottenimento del consenso al trattamento, con la stesura del registro dei trattamenti, con la redazione di una privacy policy compliant, ed eventualmente con la predisposzione di una valutazione di impatto dei rischi insiti nei vari trattamenti.