Oggi abbiamo scambiato una piacevole chiacchierata con Stefano Rossi, responsabile della protezione dati personali per Great Estate
Ben trovato Stefano. Innanzitutto, vuoi spiegarci cosa è un responsabile della protezione dei dati?
Il responsabile della protezione dati personali (meglio conosciuto nel suo acronimo inglese D.P.O. – data protection officer), è una figura esistente da tempo in Europa ma nuova nel panorama italiano, portata alla ribalta dal recente Regolamento Generale sulla Protezione dei dati Personali – UE 679/2016. In estrema sintesi, il D.P.O. è un professionista con competenze multidisciplinari, che spaziano dalla normativa in materia di protezione dei dati personali ad aspetti di information security, risk management e gestione organizzativa, che il G.D.P.R. ha inteso affiancare a tutte le organizzazioni pubbliche ed alcune specifiche aziende private allo scopo di migliorare la loro privacy compliance e la sicurezza dei trattamenti dei dati personali.
Quali sono i compiti del Data Protection Officer?
L’art. 39 del GDPR assegna al D.P.O. i compiti primari di informare e fornire consulenza al titolare di un’azienda in merito alla normativa sulla privacy nonché, quello di sorvegliarne l’osservanza, la sensibilizzazione e la formazione degli incaricati al trattamento, la cooperazione con l’Autorità di Controllo nazionale (Garante Privacy).
Da quanto tempo operi in ambito Data Protection?
Ho iniziato ad occuparmi di protezione dei dati molti anni orsono. Durante i vari seminari di formazione che svolgo, amo ricordare come io abbia iniziato ad occuparmi di sicurezza I.T. quando ancora nei P.C. non si usavano le password. In ambito europeo, la reale tutela dei dati personali ha avuto inizio a seguito della direttiva 95/46/CE; quest’ultima è stata attuata dall’Italia con l’adozione della legge 675 del 31 dicembre 1996.
A seguito di questo, la mia iniziale visione ha avuto un riscontro oggettivo e si è trasformata in una nuova professione.
Perché è così importante tutelare i dati personali?
In primis, ricordiamo che la protezione dei dati personali è uno dei diritti fondamentali dell’individuo, ed è sancito dall’art. 8 della carta dei diritti fondamentali della Unione Europea. Spesso, il concetto di tutela dei dati personali si confonde con il concetto di privacy: si tratta di due aspetti diversi. Il concetto di privacy (privatezza) ha un’accezione prevalentemente esclusiva (diritto ad essere lasciato solo). Invece, il concetto di protezione dati attiene al mantenimento del pieno controllo sui propri dati personali, che debbono essere necessariamente comunicati alle varie organizzazioni, sia pubbliche che private, durante tutta la nostra esistenza.
Come è cambiata nel tempo la normativa sulla privacy?
Siamo passati dall’iniziale approccio, orientato alla tutela del dato della persona (definito soggetto interessato), alla tutela dell’infrastruttura di trattamento. Attraverso una metafora che propongo spesso, si è passati dalla tutela del singolo lingotto presente nel caveau della banca, a quella dell’intero sistema bancario, in quanto necessario e funzionale alla società. Inoltre, il legislatore europeo ha disegnato il nuovo Regolamento non solo sulla base delle nuove sfide prodotte dalla innovazione tecnologica, dai nuovi media e servizi della società dell’informazione, ma soprattutto per ridare fiducia ai cittadini che, in larga parte, non ritengono correttamente protetti i loro dati personali.
Il periodo attuale è caratterizzato da una rapida trasformazione del modello economico, da object-based economy a data-based economy.
Questo modello di economia basata sui dati diverrà presto quello prevalente, specialmente in Europa. Già adesso, nessuna azienda può fare a meno di elaborare dati nelle proprie infrastrutture informative, e molte basano già la loro mission esclusivamente su dati. Ridare fiducia ai cittadini europei è condizione essenziale per lo sviluppo della Digital Age, forse la più rilevante opportunità economica delle prossime generazioni.
Dall’introduzione del G.D.P.R. si sente sempre più spesso parlare di accountability; puoi spiegarci di cosa si tratta?
Accountability è un termine anglosassone che non ha riscontro univoco nella nostra lingua: infatti, la traduzione mainstream è “responsabilizzazione”, ma questa parola non rende completamente il concetto. Nel Regolamento accountability significa che il titolare è pienamente consapevole del valore dei dati personali che altri gli hanno conferito, effettua delle scelte responsabili e trasparenti per trattarli, adottando strategie di gestione del rischio e rendendo conto delle scelte e del proprio operato. In questa ottica, la nomina di un valido professionista che svolge il ruolo di D.P.O. è un’importante misura che dimostra l’accountability aziendale.
A questo proposito, come si diventa D.P.O. e come si valutano le relative competenze?
Il Regolamento, all’art. 37, indica che il D.P.O. è designato in funzione delle sue qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati personali, oltre che della capacità di assolvere i suoi compiti.
Il termine “normativa” attiene più a competenze giuridiche, mentre “prassi” si riferisce prevalentemente a conoscenze tecnologiche.
Ad oggi, non esiste un percorso formativo obbligatorio né un bollino D.P.O., anche se esistono alcuni schemi di certificazione proprietari che possono essere indicatori del livello di competenze del professionista. Per quanto mi riguarda, ho alle spalle un percorso di istruzione che attiene ad ambiti tecnologici, affiancato da successiva formazione post-laurea in ambito giuridico. Ad agosto 2020 ho anche ottenuto la certificazione UNI 11697/2017. Comunque, anche in questa attività professionale, è essenziale un processo di formazione continua.
In cosa consiste la tua attività? Qual è il ruolo che svolgi in concreto nel nostro gruppo?
Ritengo che alla base del ruolo di D.P.O. vi sia il presidio del rischio connesso al trattamento di dati personali. In tale ambito, il D.P.O. valuta la situazione attuale, identifica il livello dei rischi, propone all’azienda misure e percorsi di miglioramento e controlla gli effetti ottenuti, in un classico ciclo di Deming dei modelli di gestione. Oggi la compliance alla normativa sulla privacy non è ottenibile staticamente, ma tramite attività dinamiche e pro-attive che interessano gran parte dei processi aziendali.
Un nuovo modus operandi, chiave di lettura del recente Regolamento UE, necessario ad operare nei mutati scenari odierni, e sul quale ho riscontrato grande sensibilità da parte di Great Estate. Inoltre, il Responsabile della Protezione dei Dati ha una funzione altrettanto fondamentale: il suo ruolo di garanzia verso tutti gli stakeholders. Oltre a consulenza e controllo verso il titolare, il D.P.O. deve costituire un referente verso gli interessati (le persone che hanno conferito i loro dati all’azienda). Questi ultimi possono contattarlo per ogni aspetto rilevante concernente il trattamento dei loro dati.
Quindi, il D.P.O. è un soggetto indipendente e di garanzia, che si pone a fianco del titolare ma interagisce anche con le persone, a tutela degli interessi generali e della protezione dei dati.
Colgo l’occasione per ricordare ai lettori che, sin da maggio 2018, il gruppo Great Estate si è dotato anche di un referente privacy, quale soggetto di coordinamento di tutte le funzioni aziendali in tema di privacy e protezione dei dati personali.
Sia quest’ultimo che il D.P.O. sono contattabili molto semplicemente agli indirizzi e-mail presenti nella pagina informativa del sito greatestate.it.
A tuo avviso, come vedi gli scenari futuri? Ci saranno sviluppi che riguardano la protezione dei dati?
La nuova visione della U.E. è un futuro basato sul digitale e sui dati; in tale ambito diventa essenziale un valido schema regolatorio all’ecosistema economico digital- data based. Nuove sfide sono all’orizzonte, mentre nuove tecnologie sono già tra noi (si pensi agli assistenti digitali, alla guida autonoma, ad IoT fino alla Intelligenza Artificiale e alla Persona Elettronica, per adesso presente solo negli scenari fantascientifici).
In tutti questi ambiti, la tutela dei diritti della persona riveste rilevanza primaria. Il prossimo passo sarà certamente il nuovo Regolamento ePrivacy, inteso a garantire la sicurezza e quindi la riservatezza nelle comunicazioni elettroniche dei cittadini europei. Esso avrà un impatto estremamente rilevante su tutte le organizzazioni attive nel settore I.T., compresa dunque Great Estate.
Proprio di recente, il Consiglio dell’Unione Europea ha avviato la revisione del testo, in modo da arrivare quanto prima alla stesura definitiva. Ci attendiamo la sua entrate in vigore entro 2-3 anni.
Ovviamente, stiamo seguendo con interesse l’iter legislativo, del quale abbiamo già preso visione, e che introdurrà varie modifiche che cercheremo di adottare anche prima che divengano obbligatorie.
Quali sono le attività più salienti effettuate nel processo di adeguamento al G.D.P.R. di Great Estate?
Il G.D.P.R. ha introdotto nuove regole in materia di protezione dai dati personali, ma l’aspetto più rilevante è una diversa impostazione, che oggi deve essere proattiva e non più meramente reattiva: quindi, occorre prevenire invece che intervenire ex-post. Dunque, valutazione, gestione e riduzione del rischio, al fine di adottare strumenti e procedure di trattamento adeguate, anche in ottica del nuovo concetto di privacy by design.
Poi, la fondamentale sensibilizzazione in ambito aziendale e la formazione degli incaricati al trattamento, al fine di ottenere una conoscenza della normativa e delle best practicies operative, ma soprattutto per ridurre errori, anche inconsapevoli, e produrre comportamenti sicuri.
A tale scopo abbiamo organizzato vari seminari ed svolgiamo periodici incontri per valutare lo stato attuale, gli ambiti di miglioramento e le correlate attività.
Vorrei ricordare anche il grande processo di revisione della infrastruttura informativa aziendale iniziato sin dal 2018, e adottato da Great Estate su mia proposta, onde migliorare prestazioni e sicurezza, e riportare in gestione diretta la gran parte dei servizi realizzati in cloud. Miglioramenti evidenti, dei quali sono certo che i vostri clienti avranno certamente notato!.