Massimo Montanile: “Scenari, rischi e nuove opportunità per la privacy”. Le imprese tra sicurezza e compliance aziendale, la figura del DPO

I principi ispiratori del Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation – Regolamento UE 2016/679) stimolano le imprese ad affrontare la sicurezza mediante una costante valutazione del rischio e le obbligano a ripensare l’approccio burocratico sin qui adottato per l’attuazione di una corretta attuazione della compliace aziendale. Tutto ruoto intorno al concetto di responsabilizzazione.

L’innovazione tecnologica propone nuovi strumenti per un pianeta sempre più connesso, ma al tempo stesso espone i dati personali a rinnovate minacce come, più in generale, espone il prezioso patrimonio informativo, anche di infrastrutture critiche, a rischi di attacchi cyber. 

Ne abbiamo parlato con  Massimo Montanile che da oltre trent’anni si occupa professionalmente di Information Technology e di Sicurezza delle informazioni, con rilevanti esperienze internazionali in multinazionali, tra i maggiori esperti del settore con all’attivo una lunga attività pubblicistica in tema di Privacy su prestigiose riviste.

Montanile ricopre anche il ruolo di Data Protection Officer di Elettronica S.p.A, delegato Federprivacy Roma, Fellow dell’Istituto Italiano per la Privacy ed è da anni docente di corsi in tema di tutela privacy e sicurezza e relatore in numerosi convegni ed è presidente di Privacy Safe, associazione senza scopo di lucro che cerca di diffondere una maggiore consapevolezza sul tema della tutela dei dati.

Dottor Montanile, il GDPR è un’opportunità o un fardello per le imprese italiane, quali le nuove opportunità di business?

L’evoluzione tecnologica e sociale ha rapidamente e notevolmente modificato le modalità di interazione umana ed ha trasformato il modo di fare business delle aziende, che ormai competono in un mercato sempre più aperto, certamente meno regolamentato e più complesso rispetto allo scorso decennio, ma più ricco di opportunità, sia per i producer, che producono i prodotti/servizi, sia per i consumer, che fruiscono di tali prodotti/servizi.

La complessità del sistema e le opportunità che esso offre spinge sempre più verso la sovrapposizione dei due ruoli, dando concretezza, nel mercato digitale, alla figura del prosumer, che contribuisce alla produzione del prodotto/servizio al tempo stesso in cui ne fruisce . In tale scenario le aziende si trasformano rapidamente e sempre più tendono verso un’organizzazione per processi, più flessibile, in grado di abilitare la necessaria flessibilità per poter sopravvivere nell’Arena Competitiva.

Le potenzialità della Big Data Analytics, le tecniche di Machine Learning a sostegno di modelli decisionali predittivi ed il tumultuoso sviluppo dell’IOT aprono scenari ancora non del tutto esplorati e sfruttati ed espongono a nuovi rischi la privacy degli interessati.

Il Titolare deve continuamente garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali degli interessati.

Ma quali sono le principali novità contenute nel nuovo Regolamento europeo sulla protezione dei dati personali? Quali garanzie e diritti introduce per i cittadini? Quali responsabilità e semplificazioni sono previste per imprese ed enti?

Con una vision moderna il Regolamento introduce i concetti di accountability e di approccio “risk oriented” che, insieme, rendono di gran lunga più robusto l’impianto che le organizzazioni devono implementare per proteggere efficacemente i dati personali.

Con riferimento all’attualissimo tema dei Cyberattack, ad esempio, un punto critico è il richiamo alle misure tecnologiche e organizzative adeguate di protezione per stabilire immediatamente se c’è stata violazione dei dati personali. Non è semplice, almeno in Italia. Il Clusit ad esempio, nel suo Rapporto 2018 sulla sicurezza Ict in Italia riconosce esplicitamente che moltissimi incidenti di cybersecurity non emergono perché “non sono stati rivelati da coloro che li hanno subiti”.

Le organizzazioni che hanno saputo per prime riconoscere la portata dei principi ispiratori del GDPR hanno acquisito un concreto vantaggio competitivo che sarà sempre più fattore distintivo nel Digital Single Market.

Il GDPR, nell’ambito delle strategie per il Digital Single Market europeo, è un fattore chiave perché supera le attuali frammentazioni normative ed agevola la transizione del mercato nell’era digitale.

I dati sono l’energia delle industrie nella nuova Arena competitiva: le aziende potranno trarre massimi benefici dal loro sfruttamento, ma solo nel rispetto delle nuove regole. Ciascuno però dovrà fare la sua parte: organizzazioni, governi, cittadini.

In un importante convegno presso l’Università Europea di Roma dal titolo “Regolamento Privacy Europeo: strategie per una compliance efficiente”, è intervenuto sulla compliance aziendale alla luce del nuovo Regolamento Europeo.

Tornando allo use case di un Cyberattack, l’implementazione in azienda delle misure necessarie per la corretta gestione dei data breach non può ovviamente essere affrontata come un intervento stand alone, avulso dal contesto.

Infatti, le molteplici implicazioni di carattere tecnico, organizzativo e processivo che si intuiscono ripercorrendo, come abbiamo fatto, le previsioni del Regolamento, suggeriscono l’adozione di un approccio teso alla realizzazione di un Sistema di Gestione per la Privacy (SGP) ed al suo governo, per assicurare una compliance ai principi privacy, in modo continuativo.

Le organizzazioni in cui sono già operativi altri sistemi di gestione, volontari (ad esempio relativi alle Norme Iso), o cogenti, possono vantaggiosamente valutare l’opportunità di avviare un’operazione di integrazione, a valle di una classica valutazione costi/benefici, questi ultimi relativi ad esempio ai possibili efficientamenti derivanti dall’ottimizzazione delle attività comuni, o dalle sinergie che si traducono in una maggiore efficacia complessiva.

Senza considerare che un approccio integrato facilita la gestione “risk-based” a 360 gradi. Il nuovo Regolamento europeo può costituire, a mio avviso, l’inizio di una nuova vision europea sui modelli di gestione privacy.

Le aziende che sapranno riconoscere l’opportunità di un approccio integrato e armonico con gli altri sistemi di gestione (Qualità – SGQ, Health &Safety – SGSL), Modello 231, ecc., potranno godere i frutti di un efficientamento delle operation aziendali e di un concreto vantaggio competitivo rispetto a chi non possiede una tale vision.

I principi ispiratori del GDPR stimolano infatti le aziende ad affrontare il tema della conformità con un approccio olistico, disegnando un sistema di gestione aziendale unico con l’obiettivo di rendere operativo un modello basato sulla piena consapevolezza, in un’ottica di gestione basata sulla continua valutazione del rischio d’impresa. In questo senso vanno interpretati i principi di Privacy by design, Privacy by default ed i previsti Data Protection Impact Assessment, Data Breach Notification del nuovo Regolamento privacy.

Soddisfare questi requirement è sfidante e farlo attraverso un modello risk-based integrato sembra la migliore risposta.

Lei è Data Protection Officer per importanti realtà internazionali, quali sono i consigli per chi voglia intraprendere questa professione?

Senz’altro pianificare un percorso di studi per integrare le competenze richieste dal ruolo.

Come abbiamo visto, i principi ispiratori della riforma Privacy impongono ai Titolari – non solo dell’ambito pubblico – di ripensare profondamente la propria vision sulla gestione dei dati e della loro sicurezza, introducendo un approccio basato sulla valutazione globale del rischio d’impresa e quindi sulla necessità di una sua Governance, che può essere resa effettiva, per gli aspetti Privacy, solo grazie alla presenza di una figura apicale, il DPO, in possesso dei necessari requisiti di competenza e della necessaria autorità.

In base all’articolo 37, paragrafo 5, il DPO “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. Nel considerando 97 si prevede inoltre che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento.

È pertanto auspicabile che il DPO sia soggetto interno all’organizzazione, ove possibile.

In questo senso, si è espresso anche il Garante negli incontri rivolti alle PA di avvicinamento al nuovo Regolamento, evidenziando come sia preferibile scegliere una risorsa interna cui magari affiancare, almeno nella fase iniziale, una figura consulenziale specializzata.

Solo nel caso di organizzazioni estremamente asciutte, che non riescono a sostenere un DPO interno, si può percorrere di affidare all’esterno i compiti di DPO. La complessità dei compiti del DPO, la necessità di vivere il quotidiano, di avere la percezione dell’aria che tira in un’organizzazione, sono capacità che, se non possedute, possono trasformare il DPO in un soggetto formale, incapace di esercitare compiutamente i compiti di cui all’art. 39 del GDPR.

L’Autorità ha inoltre chiarito che “…la normativa attuale non prevede l’obbligo per i candidati (al ruolo di DPO, ndr) di possedere attestati formali delle competenze professionali. Tali attestati, rilasciati anche all’esito di verifiche al termine di un ciclo di formazione, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza della disciplina ma, tuttavia, non equivalgono a una “abilitazione” allo svolgimento del ruolo del DPO. La normativa attuale, tra l’altro, non prevede l’istituzione di un albo dei “Responsabili della protezione dei dati” che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto. Enti pubblici e società private dovranno quindi comunque procedere alla selezione del DPO, valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti da assegnati.”

Si pensi all’Articolo 5 – Principi applicabili al trattamento di dati personali, che richiama, al paragrafo 2, il principio di “accountability” o il considerando 39 del Regolamento, vero e proprio manifesto della Privacy, perseguibile solo con un approccio fortemente strutturato e governato, appunto, da una figura, già ampiamente riconosciuta in altri ordinamenti, quale quella del DPO.

Con Privacy Safe, l’associazione di cui è Presidente, vi occupate della diffusione di una cultura della privacy, cosa fare su questo terreno?

L’Associazione PrivacySafe considera indispensabile la diffusione, l’approfondimento e l’aggiornamento di una responsabile cultura della privacy tra i cittadini e tra gli operatori di tutti i settori del mercato, critici per il trattamento dei dati personali, in Italia e in Europa.

Tali finalità sono sviluppate e sostenute anche mediante attività di ricerca e di studio, con la produzione, pubblicazione e divulgazione di analisi, ricerche, documenti e l’organizzazione di eventi sulle tematiche privacy più rilevanti, anche in armonia con altri enti e istituti di ricerca e con l’Autorità Garante, affinché le iniziative economiche, imprenditoriali, istituzionali e professionali in genere si svolgano in modo da salvaguardare i principi della privacy e della data protection.