Redazione Anssaif. Quale è lo scenario nel quale vi siete trovati ad operare? Avete assistito le aziende nell’adeguamento al nuovo regolamento sulla protezione dei dati personali?
Alain De Cristofaris. E’ una attività che portiamo avanti ormai da circa due anni, inizialmente con lo scopo di sensibilizzare le aziende attraverso incontri periodici come “tavole rotonde” e “happy hour” organizzati con i soci ANSSAIF, fino a svolgere, con l’avvicinarsi della scadenza del 25 maggio, veri e propri progetti di supporto in diversi ambiti e per differenti tipologie di impresa.
Redazione: Tutti si sono ricordati della scadenza all’ultimo secondo sperando in un rinvio?
Alain De Cristofaris. Direi che la possibile moratoria è stata una chimera per molti … anzi, forse per tutti. D’altronde non sono a conoscenza di realtà, se non nella Pubblica Amministrazione, che si siano impegnati formalmente prima del gennaio 2018 nel progettare e implementare un adeguato impianto Privacy a norma del nuovo Regolamento.
Redazione. Tutto realizzato entro il 25 maggio oppure avete scelto – per i ritardatari – di implementare i requisiti più urgenti?
Alain De Cristofaris. Come detto, siamo arrivati a ridosso della scadenza, dove i più fortunati, o meglio, quelli con maggiori risorse a disposizione, sono riusciti a rispettare i tempi implementando i necessari presidi organizzativi, tecnici e procedurali; ma come è possibile immaginare, molti hanno dovuto (voluto) scegliere di posticipare talune attività pensando di avvalersi del principio di proporzionalità e di una preventiva valutazione dei rischi e dei costi di implementazione.
Redazione. Per quanto riguarda la formazione del personale autorizzato al trattamento, che ritorni avete avuto?
Alain De Cristofaris. La Privacy Awareness? Questa sconosciuta! La formazione probabilmente è uno degli aspetti che le aziende ritengono maggiormente trascurabile, almeno in questa fase transitoria dal vecchio Codice (se mai lo sarà) al Nuovo Regolamento; gli obblighi di sensibilizzazione e formazione da parte dei Titolari ci sono sempre stati, probabilmente oggi l’attività sarà meglio governata, laddove obbligatorio, dalla nuova figura del DPO (Data Protection Officer) o Responsabile della Protezione dei Dati che avrà appunto la suddetta responsabilità.
Redazione. Che dimensione, in termini di fatturato e dipendenti, avevano le aziende e gli istituti che avete supportato?
Alain De Cristofaris. Estremamente eterogenea, dalla pubblica amministrazione di notevoli dimensioni, a piccoli istituti finanziari sia in termini di organico che fatturato. In grandi linee, da duemila dipendenti circa e diverse decine di milioni di euro di fatturato a poche decine di unità e uno/due milioni di fatturato.
Redazione. L’esperienza più bella?
Alain De Cristofaris. Le esperienze più appaganti sono state quelle che ci hanno permesso di rispettare le deadline dei piani di lavoro, sia pianificate per la scadenza di fine maggio, sia per le settimane subito successive. Questo grazie ad una particolare “accountability” delle singole aziende, principio fondamentale del GDPR.
Redazione. E quella che vorresti dimenticare?
Alain De Cristofaris. Quelle per le quali il Titolare è ancora in attesa dell’approvazione dello schema di decreto legislativo per adeguare il quadro normativo nazionale alle disposizioni del regolamento, nella speranza che ci possano essere particolari esimenti ai quali aggrapparsi. TBD
Redazione. Come sintetizzeresti l’esperienza fatta e quali consigli alle aziende per il futuro?
Alain De Cristofaris. Certamente un’esperienza stimolante per tutti gli addetti ai lavori e seppur siano trascorsi periodi di vaga incertezza per una certa “latitanza” di chi avrebbe dovuto traghettare le aziende verso la Privacy 2.0, tuttavia, il 26 maggio il mondo non si è fermato. Pertanto, il modesto consiglio che possiamo dare a tutti i Titolari italiani, è quello di far tesoro di quanto obbligatoriamente implementato e cercare di trarne un vantaggio in termini di governance dell’intero processo Privacy, continuando nel tempo a manutenere e rendere sempre più efficiente il modello sviluppato e adottato.
Redazione. È possibile farlo senza soluzioni informatiche integrate?
Alain De Cristofaris. Certamente si … sarà dura ma possibile. Immaginate le decine di documenti excel (registri dei trattamenti) predisposti sia in qualità di Titolare che in qualità di Responsabile; il registro dei Data Breach (le violazioni dei dati personali) nonché i documenti formalizzati per le valutazioni d’impatto sulla protezione dei dati o data protection impact assesment (DPIA). Come dicevo tutto è possibile, tuttavia mi permetto di consigliare la valutazione di un investimento per l’acquisizione di una soluzione integrata GRC- Governance, Risk and Compliance, in grado di mettere in relazione tutte le informazioni del patrimonio aziendale (processi, asset, rischi e controlli) garantendo adeguati workflow strutturati che permettano di scalare sia internamente che verso l’autorità garante tutte le attività necessarie per adempiere agli obblighi normativi del Regolamento.
Redazione. È tutto, grazie mille per la disponibilità.
Alain De Cristofaris. Grazie a voi, è stato un piacere.
Chi è Alain De Cristofaris:
Laureato in Ingegneria, vanta oltre quindici anni di esperienza in ambito consulenziale nella valutazione dei sistemi di controllo interno e nella gestione dei rischi integrata. Esperto di Information Security, IT Governance e Business Continuity, durante il suo percorso professionale ha ricoperto il ruolo di dirigente preposto alla redazione dei documenti contabili societari e di responsabile delle funzioni di Risk Management e Compliance per importanti istituti finanziari. Dall’entrata in vigore del Regolamento europeo (UE) 2016/679 in materia di protezione dei dati personali, ricopre il ruolo di DPO (Data Protection Officer), anche in co-sourcing, per diversi istituti. Dal 2006 è membro del Consiglio direttivo dell’ANSSAIF – Associazione Nazionale Specialisti di Sicurezza in Aziende di Intermediazione Finanziaria.
Contatto: alain.decristofaris@anssaif.it
