Si è tenuto ieri a Milano il convegno “Il nuovo Regolamento europeo in materia di trattamento dati personali: gli elementi di maggiore rilevanza”, che ha fatto il punto della situazione in vista della definitiva entrata in vigore, il 25 maggio 2018, della General Data Protection Regulation (GDPR) sulla protezione dei dati personali. L’occasione ha visto l’intervento di Antonio Caselli in rappresentanza dell’AutoritĂ  Garante per la Protezione dei Dati Personali e la presentazione dei risultati dell’ultima ricerca dell’Osservatorio Information Security & Privacy del Politecnico di Milano. “C’è ancora una grave mancanza di attenzione alla protezione dei dati personali secondo quanto delineato dalla nuova normativa. Per poter realizzare le modifiche organizzative richieste dal regolamento europeo occorre coinvolgere il management delle aziende, sfruttando il tempo a disposizione per compiere tutte le analisi necessarie, per non giungere impreparati alla scadenza prefissata, evitando il rischio di commettere un illecito ed essere sanzionati da un’autoritĂ  amministrativa”, ha commentato il responsabile scientifico dell’Osservatorio, Gabriele Faggioli.

Un convegno dell'Osservatorio Information Security and Privacy del Politecnico di Milano ha fatto il punto sull'adozione del regolamento GDPR (credits: Giuliana Miglierini)
Un convegno dell’Osservatorio Information Security & Privacy del Politecnico di Milano ha fatto il punto sull’adozione del regolamento GDPR (credits: Giuliana Miglierini)

Nonostante il Regolamento sia giĂ  in vigore da maggio 2016 e sia in atto il periodo transitorio di due anni previsto per dar modo alle aziende di adeguarsi alla nuova normativa, secondo i dati presentati nel corso dei lavori, solo un terzo circa (27%) delle imprese italiane coinvolte nel survey conosce nel dettaglio le implicazioni del regolamento GDPR. Percentuale che diminuisce di molto (9%) quando si va a vedere quante aziende abbiano giĂ  strutturato un progetto per adeguarsi. Circa la metĂ  (46%) hanno in corso un’analisi dei requisiti richiesti. “La ricerca mostra uno scenario ancora in divenire. Le imprese italiane stanno progressivamente prendendo confidenza delle implicazioni della nuova regolamentazione sulla protezione dei dati personali, ma la regolamentazione è ancora percepita perlopiĂą come un questione di carattere legale, di cui si conoscono in modo ancora poco chiaro le implicazioni concrete per le soluzioni di information security”, ha commentato Alessandro Piva, direttore dell’Osservatorio Security & Privacy.

Il punto di vista del Garante

Il Responsabile dell’UnitĂ  Documentazione internazionale e revisione del quadro normativo Ue dell’AutoritĂ  Garante per la Protezione dei Dati Personali, Antonio Caselli, ha sottolineato nel suo intervento come l’AutoritĂ  italiana sia attenta a cogliere i bisogni di un tessuto industriale particolare come quello italiano, caratterizzato da un gran numero di piccole e medie imprese che potrebbero trovare piĂą difficoltĂ  nell’implementare il quadro complesso e oneroso disegnato dal regolamento GDPR rispetto alle grandi aziende. Un punto, quello delle PMI, che potrebbe trovare un primo, importante elemento di semplificazione nell’adozione di un Data protection officer (DPO) condiviso: una proposta caldeggiata da tutti i partecipanti al convegno e supportata anche da Antonio Castelli. La figura di questo specialista della sicurezza dei dati, che nei prossimi anni assumerĂ  un ruolo sempre piĂą rilevante all’interno dell’organigramma aziendale, è stato anche al centro dell’intervento di Sergio Fumagalli di Europrivacy, che ha illustrato anche come potrebbe funzionare un altro elemento semplificativo, i codici deontologici per i diversi settori che devono essere redatti dalle rispettive associazioni di categoria e approvati dal Garante. La decisione di aderire a tali codici è individuale e andrebbe a testimoniare l’impegno dell’azienda nella protezione dei dati personali, che potrebbe essere così sgravata di altri passaggi onerosi dell’applicazione del regolamento e dall’applicazione (o comunque alleggerimento) di eventuali sanzioni.

Antonio Caselli, che ha direttamente preso parte alla stesura del regolamento GDPR in sede europea, ha sottolineato anche come si tratti di un testo di compromesso che rappresenta l’evoluzione dei concetti di gestione della privacy sviluppati nell’ultimo ventennio. Nel suo intervento, il rappresentante del Garante ha indicato come molti aspetti della nuova legislazione europea rimangano in realtà aperti a possibili interventi a livello nazionale. In Italia, ad esempio, il Garante dovrebbe stabilire le modalità di certificazione e di accreditamento dei soggetti certificatori. In ogni caso, ha sottolineato ancora Caselli, l’Autorità Garante intende per il momento mantenere i valori aggiunti, le prassi e le indicazioni dell’attuale sistema, per non causare shock applicativi senza prima avere acquisito l’opinione dei vari stakeholder nella messa a punto di eventuali modifiche. La sfida, per l’Autorità Garante, è quella di evitare che il nuovo quadro normativo si traduca in un approccio puramente burocratico. Tra gli elementi fondamentali sottolineati da Caselli nel suo intervento, la privacy-by-design dovrebbe diventare la base di ogni futura analisi del rischio in tema di protezione dei dati personali, che da valore aggiunto per l’azienda diventa un obbligo di legge con il nuovo Regolamento.

ARTICOLI CORRELATIALTRI ARTICOLI DI QUESTO AUTORE