GDPR: Pillole di verità

Ne ho viste di tutti i colori alle nostre latitudini; gente che s’improvvisa “esperta di privacy” dopo aver letto due brochure sulla GDPR, corsi sulle basi del nuovo regolamento europeo a costi sproporzionati e dalle quantomeno sindacabili modalità, interventi di esperti che fino a ieri erano gli stessi a proclamare al popolo con spavalda sicurezza che la GDPR non avrebbe mai avuto alcun influsso in Svizzera, marketing di massa zepppo di soluzioni di compliance GDPR “per PC” o proposte “indecenti” improvvisate e assolutamente prive di qualsiasi logica, per non parlare delle innumerevole aziende pronte ad affidarsi solo alla parola degli avvocati o dell’informatico di fiducia che fino a ieri non aveva mai avuto alcuna esperienza nel campo della protezione dati. Tutto questo per assicurarsi la compliance GDPR. Pura fantasia.

Vorrei rendere attente le aziende svizzere che la GDPR è un Regolamento Europeo che verrà attuato dai vari Stati membri in maniera seria e professionale. L’attuale adeguatezza della LPD Svizzera agli occhi dell’Europa (e tra l’altro, adeugatezza fornita basandosi sul disegno di legge e non sull’attuale legge in vigore, con conseguente possibile esclusione della Svizzera dalla lista dei paesi ritenuti adeguati in caso di non fosse approvata) di fatto si basa anche sul principio collaborazione del FDPIC con le altre Supevisor Authority europee in caso di necessità: in soldoni, in caso di eventuale sanzione per una non conformità, il principio di collaborazione attiverà una condivisione delle decisioni e delle procedure tra SA, e molto probabilmente la SA Svizzera seguirà le indicazioni della SA terza, laddove questa decisione non venga in conflitto con la legislazione svizzera. In poche parole, la possibilità che una sanzione emanata da una S.A. di uno Stato membro EU alla Svizzera venga imposta, anche prendendo in considerazione un possibile ridimensionamento della stessa con i parametri svizzeri, è più che concreto. Chi vi assicura che in nessun caso un’azienda Svizzera potrà venir senzionata per il mancato rispetto della regolamentazione GDPR da uno stato terzo, vi sta raccontando una fiaba.

Inoltre chiedo anche alle istituzioni pubbliche e agli organi d’istruzione, di fare maggiore attenzione sulle informazioni divulgate al pubblico; ho spesse volte visto informazioni poco accurate, che possono dare addito a interpretazioni completamente errate e, potenzialmente, molto dannose! Altro punto di primaria importanza è il ruolo del DPO: pensare di diventare DPO dopo aver fatto un corso di qualche giorno, ancora una volta, mi sembra un approccio ottimo a livello commerciale ma poco serio e potenzialmente pericolos.  Il DPO è una funzione chiave; deve avere esperienza in ambito di governance, di management, conoscenze legali, conoscenze di gestione progetti, conoscenze tecniche in ambito ICT, deve essere una persona che ha capacità di intermediare con i vari stakeholder, e che ha anni di esperienza nel suo bagaglio personale. Una figura sicuramente molto interessante, dove sono richieste competenze multiple molto complesse. Deve essere una persona additta al cambiamento, e dimostrare di non aver alcun conflitto d’interesse all’internzo dell’azienda. In Svizzera, al contrario di altri paesi europei dove tale figura è giâ presente da tempo, il DPO è una figura quasi inesistente, fatto esclusione alcune corporate globali. Dunque l’esperienza svizzera del DPO è un percorso tutto in salita, una salita estremamente rapida. Assegnare tale ruolo di vitale importanza a una persona priva delle sperienze e competenze necessarie è, a mio modesto parere, una vera e propria pazzia.

Un’altra questione da tenere bene in mente è il fatto che la Svizzera in primis vuole mantenere degli ottimi rapporti con l’EU, e visto che la maggior parte del business Svizzero avviene fuori dai nostri confini e che il nostro primo cliente è proprio l’Europa, non esiste una motivazione, se non quella del suicidio commerciale, nel cercar di fare opposizione e ostruzione all’applicazione di tale norma. Difatto è stato il fattore determinate, l’entrata in vigore della nuova legge europea sulla protezione dati europea avvenuto il 26 aprile 2016, per l’avvio delle consultazioni presso il Parlamento svizzero per la stesura della nuova bozza della legge sulla protezione dei dati Svizzera, scritta proprio per allinearsi principalmente alla regolamentazione europea, e garantire il mantenimento dell’adeguatezza della legge sulla di protezione dei dati personali svizzero in Europa, garantendo p.es. il trasferimento di dati personali senza vincoli tra Svizzera e EU, ed evitare pericolosi vincoli sul trattamento di dati personali, imposti a paesi senza adeguata copertura legislativa, con conseguenze quantomento potenzialmente drammatiche per il mercato svizzero.

Il mio consiglio è quello di verificare con grandissima attenzione come affrontare il percorso di conformizzazione alla GDRP, nonché alla bozza della nuova LPD, per non parlare di allineamento alle sfide di oggi e di domani sulla protezione e l’uso dei dati personali. E di scegliere con cautela da chi farvi seguire e chi assumere, verificandone le reali competenze ed esperienze (e qua sorge un altro problema  constatato più volte di persona: chi effettua tali selezioni, spesso non possiede le competenze per farlo, dunque siamo nuovamente ai piedi della montagna). Diffidate da consiglieri in tuttologia appena sfornati, anche quando avete a che fare con sedicenti avvocati, che utilizzano la loro (a volte presunta) conoscenza delle leggi, per propinarvi soluzioni assolute e garantirvi sonni tranquilli, assicurandovi che una volta verificate e garantite le coperture rispetto agli obblighi legali, il vostro percorso è terminato. Non è proprio così. Anche questo è un grave errore che ho visto materializzarsi negli ultimi mesi: avvocato = copertura di tutti i requisiti GDPR. È certamente e senz’ombra di dubbio una figura essenziale, della quale Nymphaea Group è stata la prima a riconoscerne l’importanza da inserire in una proposta integrata e consolidata che per forza doveva tener conto degli aspetti legali. Certo, ma è solo un tassello del puzzle che la nuova normativa richiede. Inoltre figure legali in grado di trattare tali argomenti e che posseggono la necessaria esperienza, rappresentano ancora una minoranza nel settore.

La GDPR è un processo culturare; richiede l’interlocuzione con tutti, e il coinvolgilmento di tutti i ruoli, indipendentemente dal livello occupato all’interno dell’organigramma aziendale. Ovviamente, la comprensione e lo sponsoring da parte dell’Executive Management  è necessario per poter condurre il cambiamento aziendale in maniera capillare e sostanziale. Si parla di GDPR (e, tra l’altro, la e-privacy, anch’essa non più una direttiva ma una regolamentazione, è alle porte), ma ci si dimentica che il discorso è ben più ampio che la “semplice conformizzazione delle nostre imprese” alle nuove normative; è ora di comprendere che la linea di comando in primis deve inculcare e istruire l’azienda al cambiamento culturale ed etico, e non puntare sempre e solo sul “cambiamento materiale”, che non è mai un reale cambiamento, ma solo una “riverniciata alla facciata”, senza però cambiare alcunché (o quasi) all’architettura organizzativa aziendale. L’obiettivo primario è quello d’implementare un processo di gestione del ciclo di vita delle informazioni continuo, sicuro, efficace, controllato e misurabile, integro e trasparente.

Concludo sperando in una maggiore cautela e acuratezza delle informazioni da parte di tutti gli interessati, in quanto sarebbe veramente un’altra occasione persa dalla Svizzera e dal Ticino, non aver percepito la reale motivazione di tale cambiamento, che a mio modo di vedere, è di portata epocale. Il tutto si traduce in una meravigliosa parola per la quale ho combattuto, combatto e continuerò sempre a combattere, vieppiù messa a repentaglio da etiche discutibili e strategie di mantenimento delle poltrona a scapito del reale cambiamento e innovazione delle nostre industrie, dei nostri uffici pubblici e dell’istruzione: la trasparenza. Il principale pilastro sul quale poggiano le nuove regolamentazioni sulla privacy, non solo in Europa, ma in tutto il mondo.

Danilo Becca

Managing Director – Nymphaea Group Sagl

By | 2018-05-29T17:43:03+00:00 May 24th, 2018|Uncategorized|