All’European Data Protection Days, organizzato a Berlino da Euroform dal 15 al 17 maggio, la data protection è stata la protagonista indiscussa. Cambiamenti ed opportunità prospettati dalla GDPR, sviluppo dei flussi di dati globali resi possibili dal Privacy Shield, cambiamenti organizzativi e tecnici che stanno affrontando le imprese per prepararsi alla nuova cornice normativa, sono state solo alcune delle questioni affrontate.
A discuterne i maggiori interlocutori del settore – Istituti di protezione dei dati, Responsabili della privacy e Specialisti di dati provenienti da tutto il mondo – che si sono dati appuntamento in questa tre giorni internazionale per confrontarsi sui temi “caldi”, ad un anno dall’obbligo di adeguamento.
Due gli argomenti principali: il primo riguarda certamente l’allineamento delle aziende europee rispetto alle tempistiche necessarie per poter arrivare conformi alla GDPR entro il maggio 2018, il secondo è legato ai rapporti tra la normativa in adozione presso la comunità europea e il fronte internazionale.
Sullo stato delle aziende UE, rispetto alla compliance, hanno portato la loro esperienza grandi player presenti sia sul fronte internazionale che su quello squisitamente europeo: Google, eBay ma anche Deutsche Telekom, Capgemini e Novartis, giusto per citarne alcuni. Il fattore comune emerso è che certamente negli altri paesi dell’Unione risulta particolarmente valorizzata la figura del DPO (Data Protection Officer). In diversi Stati membri è già storicamente presente da alcuni anni e, quindi, risulta una figura alla quale le aziende fanno ampio riferimento rispetto al raccordo tra vecchia normativa e nuova GDPR. E’ emerso inoltre, in maniera molto evidente, come i numerosi DPO presenti in platea fossero particolarmente interessati a modelli pratici di applicazione e recepimento dei singoli obblighi derivanti dal Regolamento Europeo. Inutile dire che i grandi colossi stanno affrontando l’adeguamento già da diverso tempo e che l’elemento comune di partenza è stato la mappatura dei flussi dei trattamenti. Forte invece la preoccupazione rispetto al tema data breach, in particolare guardando agli effetti che potrebbero subire le aziende sotto il profilo della reputation. Evidente, dunque, la necessità di assumere un approccio alla stipula e all’integrazione dei contratti in grado di individuare e ripartire non solo le responsabilità sotto il profilo giuridico, ma anche gli oneri dal punto di vista tecnologico.
Sul fronte internazionale interessanti le testimonianze presentate rispetto ai rapporti tra Europa, Hong Kong, Stati Uniti ma anche Russia, Filippine e Tunisia; tutti paesi con i quali sussistono forti relazioni sotto il profilo del trasferimento dati e con i quali può prospettarsi una volontà di condividere, a livello globale, i diversi principi emergenti nella GDPR. Preme d’altra parte evidenziare che forti divergenze sussistono rispetto alla raccolta dei consensi che, in molte altre nazioni, non vengono ritenuti essenziali per attività ultronee rispetto alle finalità originarie sulla base delle quali i dati stessi vengono conseguiti.
Infine, una riflessione personale: ho notato una particolare assenza di attenzione verso il tema del privacy by design che, pur essendo di rilevanza prettamente tecnica, dovrebbe senza dubbio comparire nelle questioni oggetto di analisi da parte dei DPO e dei consulenti che si approcciano ad aziende e pubbliche amministrazioni. Probabilmente la forte complessità, unita alla specificità della materia, rendono l’argomento ancora bagaglio culturale di pochi sul fronte internazionale, benché il mercato stia evidenziando – in maniera molto chiara – come esso rappresenti attualmente una delle esigenze più sentite dai CIO aziendali.
Articolo a cura dell’ Avv. Valentina Frediani, Founder e CEO Colin & Partners
Fonte: Federprivacy
