L’entrata in vigore, a maggio, del regolamento Ue sulla protezione dei dati va a regime

Pagine a cura di Federico Unnia
Il peggio sembra essere passato, anche se rimangono aperti alcuni problemi come la costante formazione che deve essere erogata alle molte funzioni che, volenti o nolenti, debbono interloquire con il responsabile aziendale della protezione dei dati personali, o Data protection officer (Dpo). È questo il clima che si respira tra gli avvocati che si occupano di privacy a 6 mesi dall’entrata in vigore del dal Regolamento generale sulla protezione dei dati 2016/679 (Gdpr).

«Il giudizio è positivo. La maggior parte delle aziende si è adoperata per conformarsi al nuovo dettato normativo», dice ad Affari Legali Giulio Coraggio, partner di Dla Piper. «In alcuni casi, tuttavia, abbiamo notato un approccio più formale che sostanziale. Si tratta di un cambio di prospettiva che è necessario per tutte le società, anche perché ogni settore sta affrontando un veloce processo di digitalizzazione che comporterà la raccolta di sempre più dati personali ed una profilazione sempre più dettagliata dei propri clienti».
«Le società che sapranno garantire la conformità con la normativa privacy otterranno un vantaggio competitivo. Ma ovviamente tale vantaggio presuppone che il Garante esegua i necessari controlli per meglio garantire una parità di trattamento tra gli operatori nel mercato», aggiunge Coraggio. «Altro punto la figura del Dpo: la nostra raccomandazione è stata di identificare una risorsa all’interno della società che possa agire come Dpo e sia a contatto diretto con il business. Un legale esterno ha il vantaggio di affrontare la stessa problematica per tanti clienti e quindi di poter meglio comprendere i rischi e la soluzione per poterli affrontare. Abbiamo gestito oltre 50 progetti di messa in conformità con il Gdpr. Questo ci ha consentito di incamerare un enorme bagaglio di conoscenze circa i possibili scenari che si possono prospettare» conclude.
Secondo Vincenzo Colarocco, responsabile del Dipartimento protezione dei dati personali, compliance e sicurezza informatica dello Studio Previti Associazione Professionale, «il modello di progetto è stato costruito in modo tale da garantire, in tempi brevi, l’adeguamento, da un lato, della documentazione indirizzata ai terzi, dall’altro, delle procedure interne di gestione dei dati. Un tema di non poco rilievo è quello dell’implementazione delle misure tecniche ed informatiche più idonee a seguito di puntuale analisi dei rischi sia legal che tech. Spesso per ridurre i rischi è necessario effettuare investimenti tecnologici importanti che richiedono una programmazione a lungo termine, anche per rivedere alcuni processi aziendali o introdurne nuovi. L’importante è avere un programma di implementazione strutturato e chiaro. Alcune realtà aziendali hanno scelto di dotarsi di un Dpo su base volontaria. In alcuni casi la nomina è stata esterna; in altri si è scelto un soggetto interno all’azienda, con ogni precauzione sulla sua autonomia ed imparzialità. L’esecuzione dei compiti del Dpo in maniera più efficiente è da cogliersi nei casi in cui questi possegga competenze anche IT, che gli consentono di supportare il titolare».

«In base alla nostra esperienza, una parte delle imprese ha compreso l’incisiva importanza del Gdpr sia in termini di impatto sulla governance e sui processi aziendali, sia in termini di obblighi e responsabilità nei confronti dei terzi interessati al trattamento dei dati. Un completo adeguamento alla normativa, però, è ancora lontano», spiega Annapaola Negri-Clementi in qualità di managing partner dello Studio Legale Negri-Clementi. «Alcune aziende hanno certamente sottovalutato la portata quasi rivoluzionaria del Regolamento e si trovano in ritardo con riferimento alle attività di compliance sostanziale, avendo adottato rimedi meramente formali (documenti e informative) che certo non soddisfano quei principi fondamentali (accountability, privacy by design e by default) che il legislatore europeo ha posto alla base della nuova normativa» .
I clienti dello Studio sono già in una fase avanzata del percorso di adeguamento al Gdpr. «Le difficoltà maggiormente riscontrate ineriscono alla formazione del personale e dei collaboratori, all’adozione di misure di sicurezza informatiche adeguate e, soprattutto, al controllo sull’effettiva compliance normativa dei fornitori e comunque di quei soggetti esterni che trattano i dati per conto delle aziende (Responsabili esterni del trattamento). In merito all’obbligo di nomina di un Data protection pfficer consigliamo ai nostri clienti, specialmente quando si tratta di imprese di dimensioni medio-grandi, di procedere alla nomina anche qualora non sussistano i requisiti per l’obbligatorietà. Poche imprese percepiscono quali siano le funzioni di questa nuova figura e faticano a comprenderne la potenziale utilità» conclude.

Tratteggia un quadro soddisfacente dell’esperienza maturata con i clienti dello studio Marco Lucchini, partner di Crea Avvocati Associati: «le aziende hanno recepito molto seriamente la necessità di adeguarsi alle nuove regole. Certo, i principi della privacy by default e by design hanno comportato una rivoluzione copernicana nell’approccio alla compliance. È stato necessario ripensare dalle basi l’approccio al tema, da un’ottica di compilazione a una prospettiva più creativa, in particolare per i titolari che effettuano i trattamenti che potenzialmente incidono di più sui diritti degli interessati. Probabilmente l’aspetto più problematico è rappresentato dalla necessaria interazione di soggetti che trattano i dati a diversi livelli. Mi riferisco al rapporto tra titolari e responsabili. Capita non di rado di assistere imprese che, da rappresentanti, si trovano a dover segnalare ai titolari situazioni problematiche, senza potervi incidere direttamente. L’asimmetria nella compliance è uno degli aspetti che va gestito con più attenzione.

Smorza qualche entusiasmo Simonetta Candela, partner di Clifford Chance, secondo la quale «l’effettivo adeguamento al Gdpr è ancora un work in progress e le incertezze interpretative non aiutano. Si è diffusa la consapevolezza che la disciplina imponga valutazioni e scelte che vanno comunque effettuate. Meglio azioni poste in essere con diligenza destreggiandosi nelle difficoltà, che un’inerzia ormai inescusabile: chi si ferma è perduto. Riscontriamo qualche ritardo su aspetti ritenuti secondari, come la modulazione dei periodi di conservazione o l’emanazione di policy ed informative ad hoc per trattamenti particolari così come la gestione dei ruoli all’interno dell’azienda e dei fornitori e la negoziazione degli accordi sindacali sui sistemi che permettono un monitoraggio dei dipendenti».
Dello stesso umore Laura Liberati, senior associate di Macchi di Cellere Gangemi per la quale «il giudizio generale è quello di un articolato processo di adeguamento ancora in via di sviluppo o perfezionamento. In realtà anche che noi tecnici ci troviamo ad operare in un quadro normativo ancora in fase di interpretazione, costituito da più livelli di fonti normative. Da una parte il nuovo Regolamento europeo e dall’altra il contesto normativo nazionale che, pur se allineato al Gdpr, è tutt’ora esistente. Gli adempimenti che maggiormente impegnano le aziende sono quelli che richiedono delle modifiche di tipo strutturale/ontologico: ad esempio, il processo di formazione e sensibilizzazione tra i vari livelli aziendali che partecipano ai trattamenti, ma anche la predisposizione e implementazione di nuove procedure che intervengono su processi aziendali, magari già esistenti, e sui nuovi progetti al fine di assicurarne la conformità alla normativa (principi di privacy by design/by default). Un aspetto importante è la consulenza allorché debba essere effettuata una valutazione dell’impatto dei trattamenti (Dpia), in particolare per quanto riguarda l’apporto e il coordinamento multidisciplinare, quindi non solo legale, che è richiesto».

Secondo Lucio Scudiero, senior associate di Legance e direttore esecutivo di Lex Digital, un’associazione dedita all’approfondimento del diritto e dell’economia del mondo digitale, «la percezione varia da settore a settore ma come tratto comune c’è ancora l’incertezza sulle norme secondarie che il Garante è chiamato ad adottare, alcune delle quali avranno un contenuto sostanziale pari se non maggiore di quello previsto in via generale dal Gdpr. Penso alle misure di garanzia per il trattamento dei dati di salute, biometrici e genetici, ma anche al provvedimento generale che dovrà sostituire le autorizzazioni generali previgenti. A livello più alto, riscontro ancora difficoltà a incentrare i processi sul rischio, e continua ad esserci penuria di data protection officers qualificati. I clienti hanno realizzato la complessità tecnica e giuridica di questa materia e pur quando designano Dpo di non lungo corso, hanno comunque la sensibilità di capire che è necessario un supporto sia interno che esterno per queste figure».
Secondo Francesco Paolo Micozzi partner di Array studio legale, «l’Autorità garante si trova costretta ad un superlavoro: oltre a proseguire nelle attività, anche ispettive (che non hanno subito interruzioni) si è concentrato sull’ulteriore attività che lo impegna con riferimento all’aggiornamento delle linee-guida e la produzione degli ulteriori documenti anche individuati sulla base del dlgs 101/2018, tra i quali, ad esempio, le «misure di garanzia» previste con riguardo al trattamento di dati genetici, biometrici e relativi alla salute previste dall’art 2-septies del «nuovo» Codice della privacy».

Infine, Luca Daffra, partner dello studio Ichino Brugnatelli Associati, porta il focus sul diritto del lavoro: «Il trattamento dei dati personali pervade il diritto del lavoro. Si pensi ai dati anagrafici dei dipendenti, alle loro retribuzioni, alle informazioni sul loro stato di salute, all’affiliazione sindacale e così via; ora, questi dati sono sempre stati trattati dai datori di lavoro in maniera automatica senza quell’attenzione e quella sensibilità che il Gdpr oggi impone. In quest’ottica, le maggiori problematiche hanno riguardato la mancanza di una mappatura dei trattamenti dei dati personali effettuati dall’azienda, l’assenza di policy sull’utilizzo dei sistemi informatici aziendali, la carenza di adeguate informative sui trattamenti effettuati, in particolare con riguardo a quei dati acquisiti attraverso strumenti da cui può derivare un controllo dell’attività lavorativa, come possono essere i software che registrano i file di log, piuttosto che i sistemi di videosorveglianza. L’attività di consulenza prestata ha riguardato, per lo più, la mappatura dei trattamenti di dati personali effettuati dall’azienda, al fine dell’individuazione degli accorgimenti da mettere in campo per conformarsi alla Gdpr».

Fonte:
logoitalia oggi7