Il percorso per la Protezione dei Dati Personali e l’allineamento con il GDPR europeo sta procedendo a ritmi serrati perché il 25 maggio 2018 scatteranno già le prime salate sanzioni. Questo comporta sia una ricalibrazione delle norme nazionali in materia, sia un adeguamento delle policy e dei processi interni alle aziende. Ma non tutto procede come dovrebbe.
No dati, no party: i retroscena di una modifica bizzarra
Oggi sotto i riflettori c’è un tema che fa notizia: la cessione dei dati sensibili e sanitari dei cittadini alle multinazionali dell’ICT: almeno questo è il titolo con cui sono usciti molti giornali. La questione è un tipico esempio di prassi politica italiana, che introduce un pericoloso squilibrio normativo per rispondere a logiche lobbistiche. Lo scorso 27 novembre sono state pubblicate in Gazzetta le prime modifiche al D.Lgs 196/03, fra le quali ne leggiamo una bizzarra e pericolosa: la possibilità di trattare dati sanitari a fini statistici (tranne i dati genetici) senza chiedere il consenso degli interessati, purché venga applicato il principio della minimizzazione e dell’anonimizzazione e ci sia un’autorizzazione specifica da parte dell’Autorità Garante.
Solo l’occhio esperto si accorge dell’incongruenza: se i dati utilizzati devono essere anonimi non è applicabile né il D.Lgs 196/03 e nemmeno il nuovo Regolamento Generale sulla Protezione dei Dati Personali, per cui che senso ha questa modifica? E poi se fossero anonimi perché escludere i dati genetici?
A ben vedere, non si tratta di una leggerezza del legislatore, ma di un regalo di Natale fatto ai grandi big player, affamati di Big Data.
Da addetta ai lavori, osservo come sia chiaro che questi dati non saranno mai realmente ‘anonimi’ perché il Titolare li avrà sempre; pensiamo ad esempio ai sistemi sanitari regionali, i dati sanitari non potranno mai essere anonimizzati da questi e poi dati a terzi per fare analisi statistiche, perché al sistema sanitario quei dati servono per erogare i servizi ai propri cittadini. E dunque chi sarà quella terza parte che li anonimizzerà?
Qui si gioca il punto chiave: molto probabilmente saranno proprio quegli stessi Big Player che poi li tratteranno per il loro business, sappiamo già di accordi ad hoc con lo Stato in proposito.
Così, però, si arriva ad un pericoloso precedente: mentre le piccole e medie imprese vengono bacchettate continuamente sul trattamento dei Dati Personali e sull’entrata in vigore del Nuovo GDPR, alcuni Big hanno un trattamento personalizzato, facendo da apripista per un regime di libero scambio di Dati Personali funzionale ai loro interessi economici.
In tutto ciò le piccole imprese e le startup dell’ICT cosa possono fare? Adeguarsi al modello e cercare di approfittarne? Hanno talenti, grandi idee, capacità di innovare e cambiare molto più velocemente delle grandi, basterebbe che si unissero in reti d’impresa ad hoc creando nuovi Big Player e il gioco sarebbe fatto. Ma non è questo ciò che vogliamo: noi crediamo ancora in un ecosistema etico, in un sistema normativo coerente che tutela principi validi per tutti e al di sopra del business.
GDPR: per le piccole imprese è ancora un’incognita
Nonostante questi colpi di coda, come associazione stiamo marciando a ritmo serrato verso la scadenza del 25 maggio 2018, perché c’è fame di informazioni e soprattutto di procedure per adeguarsi al GDPR. La maggior parte delle aziende ancora non ne ha capito l’importanza, tanto che stiamo pensando di attivare uno sportello dedicato a tutto il mondo delle imprese Confcommercio.
Il problema riguarda soprattutto le aziende di più ridotte dimensioni: secondo il nuovo Assintel Report, oltre il 60% delle micro imprese, e il 42% delle piccole, ha solamente iniziato a raccogliere informazioni o ancora non conosce addirittura la tematica del GDPR. Invece, il 60% circa delle medie e grandi imprese afferma di avere un piano e oltre di 10% di queste imprese dichiara di essere già conforme ai requisiti richiesti dal GDPR.
Il Codice di Condotta dedicato alle aziende ICT
Anche l’Autorità Garante sulla Protezione dei Dati Personali sta lavorando su diversi fronti per prepararsi alla scadenza del GDPR, ma è un percorso tutto in salita.
Le aziende si attendono che vengano discussi ed approvati i Codici di Condotta che mano a mano le più importati Associazioni di Categoria stanno presentando: Assintel, con il Gruppo di Lavoro Sicurezza Informatica che coordino, è stata una delle prime a proporre il proprio Codice dedicato alle imprese ICT. Nell’attesa dell’approvazione, Assintel ha messo a disposizione le “Linee guida per le aziende ICT per adempiere al GDPR” così da poter supportare fin da subito le aziende ICT nel percorso di implementazione degli adempimenti.
La logica dei Codici è quella di dare alle aziende di ogni industry uno strumento importantissimo per comprendere al meglio come adempiere al GDPR. Successivamente, si accrediteranno presso il Garante gli Enti che potranno certificare la corretta adesione ai singoli Codici di Condotta da parte delle aziende: anche sui criteri per l’accreditamento siamo in attesa delle indicazioni ufficiali del Garante.
Ora l’attività di Assintel si sta concentrando su un nuovo fronte: quello del DPO, altra figura controversa su cui manca quasi totalmente informazione, per il quale stiamo selezionando esclusivamente sul merito alcune realtà associate con le caratteristiche giuste per poter offrire un servizio di qualità e accessibile.
