“L’Italia ha sempre avuto un ruolo da protagonista nell’ambito della protezione dei dati personali. Non possiamo infatti dimenticare l’intensa attività profusa fin dagli albori della normativa privacy dal compianto Stefano Rodotà sia in ambito nazionale che internazionale per incrementare una cultura in materia di protezione dei dati personali, e considerare l’attività svolta da tutti i membri del Garante nel corso degli anni, nonostante l’esiguità dei mezzi e delle risorse a disposizione, oltre all’enorme supporto che sta dando anche Giovanni Buttarelli, attuale Garante Europeo e già segretario in passato della nostra autorità Garante. Da tenere in considerazione altresì il ruolo fondamentale svolto dal nucleo Privacy della Guardia di Finanza a supporto dell’attività investigativa del Garante. Direi che è sufficiente leggere le relazioni annuali del Garante per rendersi conto dell’intensa attività svolta dalla nostra Autorità a livello nazionale ed internazionale in materia di protezione dei dati personali”.
A parlare è Nadia Arnaboldi (nella foto a fianco), componente del Comitato direttivo e coordinatrice del Comitato scientifico dell’Associazione italiana dei Data Protection Officer, che tra i suoi titoli vanta quelli di Fellow of information privacy (FIP), Certified Information Privacy Professional Europe and United States (CIPP/E/US) e di Certified Information Privacy Manager (Cipm), presentando il congresso internazionale di Asso Dpo che si terrà a Milano l’8 e il 9 maggio, a poche settimane dall’applicazione in tutta Europa del General Data Protection Regulation (Gdpr), le nuove norme in materia di protezione dei dati personali.
Arnaboldi, in cosa l’Italia può essere un esempio per gli altri Paesi europei nel campo della data protection? E in cosa ha da imparare dagli altri Stati membri?
Le investigazioni a livello internazionale a cui stiamo assistendo in questi ultimi anni hanno sempre visto la nostra Autorità fra i promotori. Basti pensare ad esempio alla tempestività con cui si è mosso il Garante italiano sullo scandalo del caso Cambridge Analytica convocando immediatamente i vertici di Facebook ed indirizzando una lettera al Gruppo di Lavoro Articolo 29 che ha provveduto in sede Plenaria il 10 ed 11 aprile a costituire un gruppo di lavoro specifico sui Social media per sviluppare una strategia congiunta a livello di Autorità garanti europee di lungo periodo. L’Italia è sempre stata un punto di riferimento per le Autorità Garanti di altri paesi europei, sia perché ha una delle migliori legislazioni privacy a livello europeo, sia per l’intensa attività svolta dalla nostra Autorità garante nel fornire linee guida e indicazioni ai titolari ed ai responsabili del trattamento per la corretta applicazione delle disposizioni in materia di protezione dei dati personali.
Direi che più che imparare da altri Paesi, l’Italia deve continuare a procedere con attività congiunte a livello europeo in modo da garantire un pieno rispetto della protezione dei dati personali di tutti i cittadini. A livello Italia mi piace anche ricordare come la nostra associazione sia stata protagonista nella costruzione della norma UNI 11697/2017 riguardo alla figura del Dpo/Rpd, norma unica in Europa.
Il congresso Asso Dpo è arrivato alla quarta edizione, e ha sempre più un’impronta internazionale. Cosa vi ha portato a dare questo taglio all’appuntamento?
La normativa in materia di protezione di dati personali si basa su principi fondamentali riconosciuti non solo a livello Europeo – prima con la Direttiva 95/46/CE e successivamente con il Regolamento Europeo 2016/679 in vigore dal 24 maggio 2016 ed applicabile dal 25 maggio 2018 – ma anche da altre legislazioni privacy a livello mondiale, Basti pensare alla cooperazione fra le autorità garanti che sono parte della rete internazionale del Global Privacy Enforcement Network (Gpen) nata per rafforzare la cooperazione tra i garanti di diversi paesi a livello globale ed alle indagini congiunte che hanno condotto (c.d. Privacy Sweep). La nostra associazione, consapevole dell’importanza di un approccio internazionale alle tematiche privacy, e raccogliendo le esigenze manifestate dai propri associati e dal mondo imprenditoriale, ha voluto lanciare 4 anni fa il Congresso internazionale Asso Dpo coinvolgendo Autorità Garanti di altri paesi europei, istituzioni europee quali il Garante Europeo e la Commissione Europea, nonché Data Protection Officers e e Key Opinion Leaders, per incrementare la cultura in materia di protezione dei dati personali e offrire ai propri associati la possibilità di partecipare anche in Italia a un evento di respiro internazionale, che fino a quel momento non esisteva sul nostro territorio, potendosi confrontare direttamente con i protagonisti sia a livello istituzionale che imprenditoriale del mondo privacy. Inoltre, considerata l’importanza delle associazioni nel supportare un approccio virtuoso alle tematiche privacy, Asso Dpo ha contattato le associazioni privacy europee organizzando una tavola rotonda che si tiene durante la prima giornata del Congresso e che ha sempre riscosso molto successo fra i partecipanti. L’organizzazione del Congresso coinvolge tutti i membri del Comitato Direttivo e del Comitato Scientifico dell’associazione e la segreteria organizzativa, ma devo dire che i riscontri ampiamenti positivi dei partecipanti e dei relatori compensano ampiamente la fatica di tutti. Oramai il nostro Congresso è un appuntamento annuale fisso per chi si occupa professionalmente della materia, per i DPO ed anche per chi sta muovendo i primi passi in questo settore, direi unico nel panorama italiano e riconosciuto a livello internazionale come confermato dalla presenza di relatori di elevato profilo e delle istituzioni.
Quali saranno gli ospiti internazionali di questa edizione, e quale sarà il loro contributo ai lavori?
Il Congresso si svolge nell’arco di due giornate di intensi dibattiti e confronto fra associazioni europee, istituzioni e key opinion leader sia nazionali che internazionali, con interventi sia in italiano che in inglese e con un servizio di traduzione simultanea che consentirà a tutti di seguire le relazioni. L’8 maggio, prima giornata del congresso, vedrà come protagonisti della mattinata i componenti del Comitato Scientifico dell’Associazione, che affronteranno varie tematiche legate al regolamento europeo.
La sessione pomeridiana sarà dedicata ad un intervento da parte del Garante Europeo, Giovanni Buttarelli, a cui seguirà quello del Comandante del Nucleo Privacy della Guardia di Finanza, Marco Menegazzo, e la tavola rotonda con ben 8 associazioni privacy europee rappresentative di Francia, Germania, Austria, Spagna, Regno Unito, Svezia, Portogallo e dell’Europa, con la presenza dell’International Association of Privacy Professionals (Iapp), che conta su più di 38mila associati a livello globale, di cui oltre 10mila in Europa, distribuiti in 107 paesi.
La seconda giornata, il 9 maggio, sarà aperta dall’intervento di John Bowman, senior principal di Promontory financial Group, seguita da una relazione di Luigi Montuori, dirigente del Servizio relazioni comunitarie e internazionali del Garante, e dalla sessione plenaria dedicata ai Garanti con la presenza delle autorità Italiana, francese, tedesca, irlandese, Greca e di Hong Kong.
Il pomeriggio sarà dedicato alle tematiche degli schemi di certificazione con le relazioni di Domenico Squillace, presidente di Uninfo, di Cesare Auberti di Cepas bureau veritas e di Francesco Soro di Accredia. A seguire ci sarà una sessione focalizzata sulle tematiche internazionali dell’agenda del Dpo di una multinazionale, della Privacy by design e della competenza dell’autorità di controllo capofila ed il cosiddetto one-stop-shop mechanism , che vedrà come relatori Anna Pouliou, head of privacy di Chanel e membro del Comitato Scientifico di Asso Dpo, Ernst-Oliver Wilhelm, Dpo di Gft Technologies AG e membro del Comitato Scientifico di Asso Dpo e Paul van den Bulck, partner dello studio legale internazionale McGuireWoods LLP.
A chiudere il Congresso una sessione interamente dedicata alla cyber security con la presenza di Raffaele Regni (Infracom Italia), Stefano Aterno dello studio legale Aterno e di Orfeo Colognesi, membro del Comitato scientifico di Asso Dpo.
Il congresso si terrà a due settimane dall’entrata in vigore del Gdpr. Qual è il messaggio principale che volete veicolare in vista di questo appuntamento cruciale?
L’obiettivo del Congresso è di far comprendere l’importanza che ha la protezione dei dati personali in qualsiasi decisione assunta a livello aziendale ed istituzionale, e di come la protezione dei dati personali non debba essere percepita come un limite o un vincolo, ma come un valore aggiunto ed una modalità di protezione del proprio business, oltre che di incremento del proprio livello reputazionale. Per i board delle aziende, soprattutto in un Paese come l’Italia dove il tessuto produttivo è costituito soprattutto da Pmi, c’è il rischio di considerare le prescrizioni del nuovo regolamento come vincoli che ostacolano il business: vogliamo dimostrare che non è così, e che da una regolazione che garantisce i diritti dei cittadini e di qualsiasi persona fisica c’è molto da guadagnare in termini di credibilità e affidabilità, perché si riescono a superare alcune barriere, che oggi esistono e che sono essenzialmente culturali e non di implementazione.
Le competenze: lo sforzo di formazione che è stato fatto finora è sufficiente, o nei prossimi mesi si dovrà insistere sulla creazione di profili specializzati, per non incorrere in sanzioni o mettere a rischio l’immagine pubblica delle aziende?
Personalmente ritengo che la formazione sia basilare in materia di protezione dei dati personali e che le aziende debbano investire molto in formazione per poter raggiugere obiettivi adeguati di conformità alle norme e, soprattutto, per mantenerli e migliorarli nel tempo in considerazione anche dell’evoluzione tecnologica. La formazione deve essere percepita come un investimento e non come un costo, poiché consente da un lato ai professionisti che si occupano della materia di mantenere un adeguato aggiornamento ed offrire servizi consulenziali di livello elevato e dall’altro lato alle aziende e alle organizzazioni in genere, non solo di garantire il rispetto di una norma del Gdpr che obbliga i titolari ed i responsabili ad istruire chi è autorizzato a trattare i dati, ma altresì di poter garantire, tramite personale adeguatamente formato, il rispetto delle norme, dei valori e dei principi dichiarati nella documentazione privacy, e in primis nell’informativa resa agli interessati del trattamento.
