Comprendere veramente il GDPR significa considerare tutte le parti in gioco, ascoltando e approfondendo i loro punti di vista.
Spesso, negli articoli a tema GDPR abbiamo parlato di Interessati, di Titolari e di Responsabili del Trattamento, ma poche parole sono state spese per parlare della figura del DPO e della sua prospettiva sul Regolamento Europeo 2016/679.
Per questo abbiamo pensato di fare una breve intervista a Enrico Parolin, DPO di OpenSymbol 🙂
Chi è il DPO?
Se dovessi riassumere il ruolo di DPO in una parola direi: SUPPORTO.
Per chi? Per un’azienda, per i dipendenti, per i colleghi sul tema privacy, un tema che c’è sempre stato, ma in realtà è nuovo e quindi ci si pongono tante domande a riguardo.
Gli operatori in giro propongono e diffondono molta confusione quindi è fondamentale per un DPO avere le sue idee validate dal Regolamento. Deve essere in grado di esporre in modo chiaro, cercando di diminuire il livello di confusione.
Inoltre, aggiungo che un bravo DPO deve avere un certo livello di flessibilità di fronte alle evoluzioni della norma e della sua conoscenza di essa. Questo perché stiamo parlando di un tema non perfettamente calibrato (in corso di esame in Parlamento) e quindi è indispensabile sapersi mettere in discussione se richiesto.
Qual è la più grande sfida e la più grande opportunità del GDPR?
La più grande sfida è trattare in sicurezza i dati personali degli Interessati rispettando i loro diritti. Di fatto non è nulla di nuovo, visto che si tratta di un elemento che era già presente nella legge 196/2003; il punto è che non è mai stato preso seriamente. Molte informative, tanti pop-up per la gestione dei cookies nei siti Internet, l’informativa breve per l’utilizzo di telecamere, ma non ci si è mai posti davanti la questione reale del diritto degli Interessati, quindi cos’è la privacy nel vero senso della parola.
L’opportunità offerta dal GDPR dunque è rispettare i diritti degli Interessati, dal punto di vista di noi come persone fisiche, quindi noi che ad esempio rispondiamo alle chiamate dei call center che ci tartassano, ma anche noi come operatori nel mercato, nel quale possiamo andare ad operare in un modo più rispettoso ed etico nei confronti delle altre parti in gioco.
Il 26/05/2018 casca il mondo?
Assolutamente no.
Non ci sarà nessuno con la pistola puntata il 26/05, questo per una serie di motivi:
a) Il Regolamento non è stato ancora recepito formalmente dalle autorità italiane;
b) È molto complicato andare a muoversi in questo campo senza aver fatto prima un’analisi ed una valutazione dei rischi completa; per farlo serve il giusto tempo di analisi, di valutazione e quindi tutti gli adeguamenti affrettati sono errati nella maggior parte dei casi, perché non prendono in considerazione molti elementi che invece dovrebbero essere presi in causa.
È vitale rispondere al GDPR con un piano di adeguamento, vale a dire un’analisi, una valutazione dei rischi ed una scaletta di attività e azioni da intraprendere successivamente; questo, anche per il Garante, e l’Autorità che effettuerà i controlli poi, sarà un elemento molto importante.
Un consiglio per le aziende che trattano dati personali.
Un consiglio che mi sento di dare alle aziende che trattano dati personali è quello di non esternalizzare troppo la valutazione e l’analisi dei rischi. È importante e vitale coinvolgere le parti in gioco presenti all’interno dell’azienda per capire esattamente qual è il panorama dei trattamenti e quali sono le categorie degli Interessati. Questo perché tante volte è facile e comodo delegare ad un consulente legale, che armato di Regolamento per la Protezione dei Dati Personali e tutto il faldone di normative, ci dice esattamento quello che la norma richiede.
Ciò che richiede la norma è l’analisi e la valutazione dei rischi. Per questo quindi assieme alle persone interne all’azienda, che sono cruciali in tal senso, è da sedersi tutti attorno ad un tavolo e fare una valutazione completa e che non lasci nulla al caso e che soprattutto non sia da “mujaheddin della privacy”: non bisogna interpretare il Regolamento come un taglione, ma bisogna piuttosto calarlo nella propria realtà.
Un consiglio per gli Interessati.
Per gli Interessati più che un consiglio farei una tirata d’orecchi “in anticipo”. Tutti siamo Interessati e spesso quello che facciamo davanti ad un form con consensi ed Informative è scrollare molto velocemente saltando tutti i passaggi noiosissimi andando a flaggare tutto per non pensarci più. In questo siamo tutti colpevoli.
Il consiglio che do agli Interessati è quello di informarsi di più e di leggere attentamente le Informative, che con il GDPR verranno fornite anche in forma breve; fatelo soprattutto se i dati vengono inseriti all’interno di social network o nel mondo del web in generale. Questi dati poi potrebbero essere analizzati, interpretati e magari usati contro di voi.
Il 25 maggio si avvicina.. una checklist per i ritardatari.
1. Fare il censimento delle base dati e di tutti i trattamenti che vengono effettuati come Titolari del trattamento e come Responsabili.
2. Procedere con analisi e valutazione dei rischi collegati a questi dati, ad esempio se parliamo di dati di tipo particolare, vedi i dati di minore, chiaramente è da tenerne conto e da alzare quella che è l’asticella di guardia nella valutazione;
3. Effettuare la valutazione in modo completo, tenendo conto delle fonti dei dati, della loro tipologia, e poi dare un peso, valutare il rischio, quindi i possibili impatti di una violazione rispetto ad una probabilità di accadimento. In questo modo si determina il rischio per quel singolo trattamento oppure per quella categoria di trattamenti, per quel progetto. Anche qui non c’è uno schema preciso, è da porsi delle domande, non da soli ma assieme a tutte le parti in gioco. Poi sulla base di questa valutazione del rischio è necessario intervenire con i punti 4 e 5;
4. Apportare misure di sicurezza aggiuntive rispetto a quelle impiegate fino a quel momento;
5. Pensare e mettere in atto/integrare processi, supporti, applicativi, per garantire i diritti agli Interessati.
GDPR e CRM, come mai sono particolarmente legati?
Sono molto legati, perché all’interno del CRM vengono effettuate attività di profilazione. È un’attività di tipo “invasivo” rispetto alla privacy delle persone e quindi soprattutto per i dati che vengono inseriti all’interno del CRM e per i trattamenti che vengono poi effettuati successivamente, va posto un focus molto attento, molto elevato.
Bisogna tenere conto dell’Interessato o di chi ha la responsabilità genitoriale (nel caso di minori di 16 anni) e bisogna sempre domandarsi se l’applicativo risponde alle misure di sicurezza, considerate precedentemente nell’analisi di valutazione del rischio, e se si risponde in termini di diritti degli Interessati.
Per SugarCRM abbiamo la release 8, che va ad introdurre un modulo ad hoc per la gestione dei diritti degli Interessati, compresa la tanto discussa cancellazione.
Detto questo, come tutti gli applicativi in questo campo non si tratta di software “chiavi in mano”, quindi non basta andare ad installare il software, ma va adattato ed allineato per essere compliant al 100%.
