Presso la Sala Convegni Touring Club di, Corso Italia 10, Milano Il 19 novembre si è svolto il workshop “Privacy. Una rivoluzione che non può coglierci impreparati“, un evento dedicato al tema della nuova normativa europea GDPR in materia di privacy e protezione dei dati personali, alle sue sovrapposizioni e differenze con la normativa in essere e alle sue correlazioni con alcune normative importanti quali ad esempio le ricadute sull’antiriciclaggio.
Ci siamo presentati all’appuntamento in partnership con RES Consulting - società specializzata in consulenza su temi normativi, aspetti legali e formazione - proponendo una proposta di intervento che, come recita il titolo stesso dell’evento, aiuterà le aziende a non farsi cogliere impreparate.
I relatori dell’evento hanno descritto il contesto storico-giuridico in cui la normativa è nata insieme con i suoi principi fondamentali che unito agli stimoli e alla creativa curiosità del moderatore Gianluca Puccinelli, Presidente RES Consulting Group, hanno generato gli spunti utili per capire come trarre vantaggio da una iniziativa sul GDPR e affrontare in maniera semplice e al contempo strutturata un percorso di concreta e misurabile implementazione della salvaguardia dei dati personali.
Il GDPR non è semplicemente l’aggiornamento di una normativa, ma l’istituzione di una vera e propria funzione aziendale che ridisegna significativamente organigramma e sistemi di governance.
Riccardo Acciai, dirigente Ufficio del Garante Privacy, ci ha permesso di inquadrare in maniera esemplare la nuova normativa nel suo contesto storico europeo e normativo italiano fornendo una ricostruzione sistematica della sua evoluzione anche normativa su cui una platea molto attenta e preparata ha potuto orientare la sua attenzione nell’approcciare la normativa GDPR.
Gli interventi sono proseguiti con Cristiano Iurilli, giurista responsabile Progetto Privacy RES Consulting Group, che ha posto l’attenzione sugli aspetti legali e pervasivi della norma sia sul modo di concepire i processi che in generale sul business dell’azienda. Altro tema ha riguardato la cancellazione dei dati relativi a rapporti contrattuali conclusisi nonché alla questione delle regole di ingaggio nel caso di contitolarità di trattamento del dato, concludendo con un cenno alle problematiche legate alla DPIA illustrate anche alla luce dei
sistemi di autovalutazione del rischio residuo antiriciclaggio.
Nel nostro intervento, dopo una breve pausa caffè, abbiamo interagito con i partecipanti per scambiare le impressioni sulle molte sollecitazioni raccolte, confrontandoci sulla metodologia che abbiamo sviluppato in Dedagroup per informatizzare un “modello GDPR” in modo pragmatico e orientato alle migliori soluzioni per la Data Governance.
L’obiettivo è quello di monitorare in ogni momento quanto e se la gestione del dato è conforme alla normativa.
Ciò su cui volevamo riflettere è il come gli interventi per essere compliant con la normativa siano tanti e di carattere differente e su come l’intervallo di tempo che ci separa dall’entrata in vigore della fase sanzionatoria della normativa sia ormai veramente poco.
Massimo Giuriati, Vice Presidente Asso Dpo, ha illustrato i compiti e le responsabilità della nuova figura del Data Protection Officer che, nella sua doppia veste di motore aziendale della corretta applicazione del Regolamento e link con l’esterno e le autorità, di fatto si configura non tanto come una persona ma come una vera e propria funzione, indipendente, composta da più professionalità con competenze diverse. Una figura il cui ruolo purtroppo non è ancora per nulla chiaro alle aziende, le quali rischiano di sottovalutarne l’importanza.
Oggi nelle aziende si sottovaluta come la Governance dei processi diventi fondamentale e che, un corretto approccio al GDPR, possa minimizzare anche rischi relativi alla Security o alla perdita di controllo sulle Shadow IT aziendali.
Per questo insieme ad Emanuele Seu - responsabile sviluppo mercato Finance di Dedagroup – abbiamo cercato di continuare il confronto con i presenti per sciogliere dubbi e incertezze sulle azioni da intraprendere.
Tra tutte le domande e i dubbi emersi si è sottolineato come molte aziende di qualsiasi settore ad oggi non abbiano ancora affrontato da una parte la prima fase di analisi e comprensione della normativa e dall’altra il primo step di creazione della consapevolezza in azienda sulle attività di trattamento effettuate e per quali finalità: in ottica di responsabilità diretta delle aziende per la salvaguardia dei dati personali dei propri interessati questo è sicuramente una situazione ad altissimo rischio a cui occorrerà correre ai ripari nelle prossime settimane.