25 maggio 2018. E’ passato quasi un anno dalla piena introduzione del Regolamento generale sulla protezione dei dati, meglio noto come GDPR: la normativa dell’Unione europea che regola il trattamento dei dati personali.
Qual è lo stato di adeguamento alla normativa? Qual è lo stato di consapevolezza delle imprese nel tutelare un bene così prezioso che sta diventando un fattore competitivo? E a che punto sono le pubbliche amministrazioni? A queste domande si è cercato di dare delle risposte al convegno “La protezione dei dati personali: Il GDPR un anno dopo”, organizzato dalla Scuola Nazionale di Amministrazione Digitale e da Unitelma Sapienza, in collaborazione con Privacy Italia e Andig (Associazione Nazionale Docenti di Informatica Giuridica).
Il primo intervento dei relatori, dopo l’introduzione del prof. Donato Limone, Direttore della Scuola Nazionale di Amministrazione Digitale (SNAD) – Università degli studi di Roma Unitelma Sapienza, è stato di Giuseppe Busia, Segretario Generale dell’Autorità Garante per la Protezione dei Dati Personali, che ha evidenziato il lavoro svolto dall’Autorità nel corso dell’anno: “E’ stato per tutti noi un anno di lavoro molto impegnativo per l’implementazione della nuova normativa, complessa ma piena di spunti. Il GDPR ha reso la protezione dei dati un tema non più solo per tecnici, ma di tanti grazie anche all’impatto che ha sul digitale. Il decreto di adeguamento al GDPR ha attribuito al Garante strumenti flessibili per garantire a tutti l’applicabilità del Regolamento, che è diventato un modello nel mondo. Dopo un anno viene apprezzato anche dagli Over The Top. Tim Cook, ceo di Apple, si augura una legge Usa sul modello del Regolamento Ue. Il GDPR ha una criticità – ha concluso Busia – il One Stop Shop (Lo sportello unico)”.
Subito dopo è stata la volta di Giovanni Buttarelli, Garante europeo per la protezione dei dati, che in videoconferenza da Bruxelles, ha tracciato un bilancio positivo dei primi 11 mesi di applicazione del Regolamento: “Il GDPR ha resistito molto bene all’onda d’urto, anche sopra le aspettative. Mentre ci avviciniamo al primo anniversario possiamo ritenerci soddisfatti, ma il GDPR è uno strumento di partenza, non uno strumento di arrivo. Il nuovo Regolamento non va burocratizzato, anzi deve coinvolgere le startup che realizzano soluzioni di privacy by design e by default per aiutare cittadini e imprese. Il 1^ compleanno del GDPR è quindi molto positivo, ma ci sono dei vuoti come la non approvazione dell’ePrivacy”.
Secondo Gianluigi Ciacci, presidente di ANDIG “Il bilancio di un anno del GDPR è quasi un successo, perché la cultura della protezione dei dati non è cresciuta in Italia e la paura delle sanzioni non è sufficiente: adesso bisogna formare i cittadini, introducendo anche delle sanzioni per la mancata formazione”.
@Buttarelli_G: “Mentre ci avviciniamo al primo anniversario del #GDPR possiamo ritenerci soddisfatti, ma il GDPR è uno strumento di partenza, non uno strumento di arrivo.” @_ANORC @Key4biz @italiaprivacy Streaming dell’evento qui 👉https://t.co/Gl24sLb2Ue pic.twitter.com/0snNvQHHx4
— Unitelma Sapienza (@UnitelmaTweet) 5 aprile 2019
Andrea Lisi, Presidente di Anorc Professioni,ha invece evidenziato soprattutto le criticità del nuovo Regolamento: “In questo primo anno di GDPR si sono presentate tre criticità: non agiamo con spirito europeo, il DPO è isolato e deve diffidare dai ‘bollini’ e soprattutto la Blockchain non risolve i problemi di privacy”.
Nel secondo panel, focalizzato sul Data Protection Offcier e moderato da Raffaele Barberio, Presidente Privacy Italia, i protagonisti sono stati i DPO di Enti pubblici.
Raffaele Barberio, presidente associazione Privacy Italia: “#Cloud. AgID ancora non ha avviato la qualificazione dei Poli Strategici Nazionali. Il rischio? I dati delle Pa italiane nei server all’estero delle multinazionali. Serve sovranità nazionale anche sui dati” #GDPR pic.twitter.com/1tPvKm3Upa
— Privacy Italia (@italiaprivacy) 5 aprile 2019
“Viviamo in un’epoca paradossale in cui non esitiamo a condividere sul web i dettagli più intimi della nostra vita e allo stesso tempo cerchiamo norme per proteggere la nostra privacy”, ha commentato Clara Rech, Dirigente scolastico del Liceo E.Q.Visconti di Roma. “Le Scuole hanno avuto indicazioni dal MIUR tardivamente; si sono organizzate in reti e hanno sopperito con personale interno agli obblighi GDPR ma per il DPO si è preferito rivolgersi ad un professionista esterno che garantisse competenza specifica e ruolo super partes. La Scuola infatti tratta molti dati, non solo legati a minori, e deve costantemente contemperare la loro tutela con la trasparenza. Occorre poi sottolineare la necessità di vigilare sull’uso dei mezzi informatici e della comunicazione in rete, non solo perché sono i media preferiti dai giovani, ma anche perché la didattica oggi si serve molto di essi”.
“La tutela diviene fondamentale soprattutto nei confronti di giovani e meno esperti di privacy” ha dichiarato Giovanni Calabrò, Direttore Generale Tutela del Consumatore dell’Autorità Garante della Concorrenza e del Mercato (AGCM). “Abbiamo vietato a Facebook il trasferimento dei dati degli utenti a WhatsApp, con una sanzione. Le multe hanno anche un valore aggiuntivo: contengono il danno reputazionale”.
“Nonostante sia passato quasi un anno dalla piena applicazione del GDPR, è ancora basso il livello di consapevolezza della protezione dei dati”, ha osservato Sandro Di Minco, DPO di enti pubblici, per il quale è un ossimoro “nominare un DPO in ‘formazione’: è un danno per il titolare del trattamento del dato”.
“Oltre alla responsabilizzazione serve un approccio manutentivo del GDPR, la cassetta degli attrezzi e delle best practices non sono sufficienti”, ha spiegato Gabriele Lipari, DPO Asl Roma G. “Riconoscere i rischi e le opportunità nel trattare i dati personali è il vero antidoto alla deresponsabilizzazione del titolare al trattamento. Inoltre dobbiamo batterci tutti per ottenere la massima trasparenza sui dati sanitari degli italiani in server di multinazionali all’estero. Sapere solo in UE/non UE non basta affatto”.
Gaetano Palombelli, Responsabile Area Istituzionale e Ufficio Studi, Unione Province Italiane (UPI) ha spiegato ai presenti che “Gli enti locali hanno proceduto alla prima applicazione del GDPR, individuando spesso un DPO esterno all’ente con un dispendio di risorse. In alcuni casi si è dato vita ad una gestione associata tra più enti della materia della protezione dei dati personali. Può essere questa la chiave per semplificare gli adempimenti soprattutto nei piccoli Comuni, attraverso la creazione di strutture di supporto e centri di competenza specializzati in ambito provinciale o metropolitano.”
Pietro Pacini, Direttore generale di CSI Piemonte
“Nel 2019 gli attacchi informatici ai danni della Pa sono aumentati. I dati Clusit hanno evidenziato come l’Italia sia a rischio di criminali informatici”, ha dichiarato Pietro Pacini, Direttore generale, CSI Piemonte. “Il nostro obiettivo è garantire infrastrutture sicure, oltre ad accompagnare gli Enti locali e le Pa nell’adeguamento del GDPR. La qualificazione dell’AgID che abbiamo ottenuto è sinonimo di qualità e sicurezza della nostra infrastruttura cloud per i dati della pubblica amministrazione” , ha concluso Pacini.
“La vera sfida del futuro per la Pubblica Amministrazione è la governance dei dati, che sono una vera e propria risorsa strategica nel processo di innovazione del Paese” – ha commentato Simone Puksic, Presidente Insiel e Presidente Assinter. “Stiamo guardando con forte interesse rispetto al tema dell’autonomia dei territori nella gestione del dato pubblico. Lo Stato deve definire quali dati sensibili e strategici devono essere custoditi in cloud di società pubbliche e quali possono essere in cloud di società private –
“La sicurezza informatica non è mai stata un tema di interesse generale, ma adesso grazie al GDPR ha assunto finalmente una posizione di interesse nazionale“, ha commentato Giovanni Manca, esperto di sicurezza informatica. Durante il suo intervento Manca ha raccontato ai DPO presenti al convegno gli accorgimenti base per proteggere i dati.
Marco Menegazzo, Colonnello Nucleo Speciale Tutela #privacy e Frodi Tecnologiche @GDF: “Proteggere i dati vuol dire proteggere le persone”. Ultimo intervento del convegno sul #GDPR organizzato con @italiaprivacy, @_ANORC e #ANDIG. pic.twitter.com/vZkXdHQid1
— Unitelma Sapienza (@UnitelmaTweet) 5 aprile 2019
“Proteggere i dati vuol dire proteggere le persone” – ha dichiarato in conclusione Marco Menegazzo, Colonnello Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza. “La nostra attività ispettiva è focalizzata su tanti punti con al centro l’accountability”.
Marco Menegazzo, Guardia di Finanza: “La nostra attività ispettiva è focalizzata su tutti questi punti con al centro l’accountability”. #GDPR pic.twitter.com/tmLVCZ8OUP
— Privacy Italia (@italiaprivacy) 5 aprile 2019
