Nel mondo digitale in cui viviamo, il dato personale è diventato uno dei fattori chiave dello sviluppo e della trasformazione della digital economy ed in effetti la stessa entrata in vigore del GDPR e l’esigenza dei controlli del DPO ne attestano l’importanza. Ma le aziende riescono a farsi trovare preparate alle prime verifiche ispettive del Garante Privacy? E i controlli del DPO riescono ad essere davvero efficaci?
Consapevoli del fatto che i dati di consumo vengano correttamente definiti il nuovo “petrolio”, le organizzazioni si stanno impegnando in modo costante a mettere a punto nuovi e complementari modelli di utilizzo dei dati stessi per influenzare, o per lo meno prevedere, le abitudini di consumo della gente. É innegabile, infatti, che la conoscenza delle abitudini dei consumatori sia diventata un asset fondamentale per tutte le aziende, in grado di incidere positivamente sul miglioramento dei prodotti o servizi di un’impresa, consentendo di sfruttare nuove opportunità di business ed orientando meglio i potenziali clienti, fornendo servizi o prodotti personalizzati. Questo ha portato a un vero ribaltamento del tradizionale rapporto tra consumatori e produttori: oggi, le aziende sono persino disposte a offrire servizi gratuiti per ottenere informazioni e, così facendo, il cliente “scambia” i propri dati con la possibilità di utilizzare un prodotto o un servizio, senza pagarlo.
Ma come vengono raccolti questi dati?
Un gran numero di imprese, anche nei settori più tradizionali che solo fino a poco tempo fa sembravano estremamente lontani dal mondo digitale, impiega applicazioni sempre più sofisticate ed analytics in grado di tracciare il percorso fatto dall’utente da una pagina web all’altra, e talvolta anche all’interno di una singola pagina: i dati, in sostanza, vengono raccolti attraverso lo studio del comportamento dell’utente. Le leggi sulla privacy possono concretamente limitare il campo di applicazione di questo genere di approccio. Tuttavia, a ben vedere, sono l’opportunità per rendere ancora più forti questi dati. Ecco perché, quando la raccolta del dato avviene in modo conforme alle prescrizioni di legge, quello stesso dato assume un valore economico di grande pregio. In questo senso, è proprio vero che le informazioni – e non solo il tempo – sono denaro.
Con questo significato, anche la Corte Suprema di Cassazione ha pubblicato una sentenza (Cass. 17278/2018), riconoscendo il valore economico dei dati degli interessati che prestano il consenso in cambio di un determinato servizio, purché libero ed informato. Nello specifico, il gestore di un sito aveva negato il proprio servizio a chi non avesse prestato il consenso a ricevere messaggi promozionali. Qui di seguito si riporta il passaggio testuale della sentenza: «Nulla … impedisce al gestore del sito – … concernente un servizio né infungibile, né irrinunciabile -, di negare il servizio offerto a chi non si presti a ricevere messaggi promozionali… Insomma, l’ordinamento non vieta lo scambio di dati personali, ma esige tuttavia che tale scambio sia frutto di un consenso pieno ed in nessun modo coartato». La conseguenza del ragionamento è inequivoca: dal 25 maggio scorso non si può più definire come gratuito ciò che si paga con le proprie informazioni personali.
Il valore dei dati, in quanto tali e/o in forma aggregata (c.d. Big Data), è stato ribadito anche dal Garante della Privacy italiano, Antonello Soro, il quale ha sottolineato che: «Non dovremmo permettere che i dati personali, che hanno assunto un valore enorme in chiave predittiva e strategica, diventino di proprietà di chi li raccoglie». Ed è proprio nell’ottica della tutela dei dati personali, ancora troppo poco percepita, che interviene già da tempo lo stesso Garante, promuovendo visite ispettive presso le aziende che fanno del marketing un’attività strategica del proprio business.
Controlli del DPO: cosa succede durante una visita ispettiva per conto del Garante?
«Anzitutto quando vado in un’azienda voglio incontrare il DPO», rimarca nei convegni il Colonnello Menegazzo – Comandante Gruppo Privacy (Nucleo speciale tutela Privacy e frodi tecnologiche).
«Abbiamo già partecipato a diverse visite ispettive» racconta Guglielmo Troiano, Senior Legal Consultant di P4I-Partners4Innovation, nominato DPO in diversi gruppi imprenditoriali multinazionali. «Appena dopo essersi fatti consegnare il registro dei trattamenti, l’ispezione prende due strade:
- quella della verifica del contenuto del registro e della sicurezza dei dati, che porta a fornire spiegazione delle scelte tecniche ed organizzative compiute in fase progettuale (secondo i principi dell’accountability e della privacy & security by design) e
- quella della verifica della reale applicazione di quanto definito dalla Società nel proprio sistema di controllo (riscontrabile dai controlli eseguiti dal DPO)».
Who's Who
Guglielmo Troiano
Senior Legal Consultant, P4I-Partners4Innovation
In relazione al primo aspetto, vengono verificati anzitutto i consensi, e sul punto, si ritiene utile riprendere quanto espresso nella già citata sentenza della Suprema Corte: « (…) il consenso, alla luce del dato normativo, è tale da non ammettere compressioni di alcun genere e non sopporta di essere sia pure marginalmente perturbato non solo per effetto di errore, violenza o dolo, ma anche per effetto dell’intero ventaglio di possibili disorientamenti, stratagemmi, opacità, sotterfugi, slealtà, doppiezze o malizie comunque adottate dal titolare del trattamento». Poi viene compiuto un riscontro puntuale e documentato in merito a quanto riportato nel registro del trattamento e vengono prese in considerazione le componenti di sicurezza fisica e logica dei dati (se sono state pensate, progettate e realizzate).
Circa il secondo aspetto, invece, l’Autorità intende accertare l’opera di sorveglianza compiuta sull’applicazione del regolamento e delle altre disposizioni; in sostanza, verifica che il DPO abbia svolto i controlli del caso. Tra i compiti del DPO, quindi, per l’Autorità Garante spicca il ruolo di controllore, che non deve essere affatto marginale o secondario, rispetto al fornire consulenza al Titolare.
«In particolare – spiega Paolo Calvi, Data Protection Officer di P4I-Partners4Innovation – il DPO dovrà dimostrare di avere previsto un piano dei controlli a lungo termine, possibilmente pluriennale se la durata del mandato lo consente, e di averne dato attuazione, fornendo i report degli audit in cui vengono segnate le eventuali non conformità riscontrate, i suggerimenti forniti, i piani di remediation proposti e le rispettive scadenze (che dovranno diventare oggetto di ulteriore verifica). E non si deve cadere nell’errore di credere che, quandanche l’Autorità prendesse visione di un report contenente non conformità, questo potrebbe inficiare l’esito positivo della visita. Gli ispettori delegati a svolgere le verifiche per conto del Garante sono molto preparati e meticolosi, abituati a compiere controlli incrociati e puntuali: l’assenza del controllo, il mancato riscontro di una criticità o il semplice aver fatto finta di niente, potrebbero risultare ancora più controproducenti di un report che alleghi un remediation plan».
Who's Who
Paolo Calvi
Data Protection Officer di P4I-Partners4Innovation
Ma l’esito di una visita ispettiva si limita al riscontro documentale?
«No. Durante tutte le visite ispettive a cui abbiamo partecipato – racconta Troiano – un aspetto molto apprezzato dagli organi inquirenti è stato quello di aver trovato la Società preparata alla visita, sia in termini di coinvolgimento delle risorse che di gestione dello stress, ed essere riusciti ad interfacciarsi direttamente con soggetti in grado di comprendere le domande e di rendere maggiormente efficace la verifica.
Le visite ispettive sono molto lunghe, durano anche giorni interi. L’operatività aziendale viene inevitabilmente turbata, e se il team DPO e tutti i soggetti coinvolti dalla visita non riescono a dimostrare la compliance dell’organizzazione, il rischio è quello della sanzione. Le risorse interne, in particolare, devono sapere dove vengono conservati i documenti [quindi andrebbe previsto un repository unico, correttamente segregato], devono poter contare sul fatto che le versioni dei documenti sono univoche ed aggiornate [quindi non andrebbero fatte circolare versioni differenti, più o meno aggiornate], e devono saper fornire risposte esaurienti ed efficaci [dimostrando la dovuta preparazione al tema del trattamento dei dati personali]».
Un vero valore aggiunto, pertanto, è la presenza contestuale di un team di supporto al DPO, che lo sostenga nello svolgimento dei suoi compiti, coeso e composto da professionisti preparati in diversi ambiti (di competenza legale ma anche informatica e di security) e di risorse aziendali preparate a fornire all’Autorità tutta la documentazione richiesta. Ma per essere pronti si deve necessariamente avere già sperimentato, in via preventiva, l’effort di un audit, anche sotto forma di stress test e di simulazioni di visita ispettiva, proprio come vengono eseguite le prove di evacuazione in ambito salute e sicurezza.
A ben guardare, si dovrebbe arrivare a pensare al trattamento illecito dei dati esattamente come al rischio di un incidente sul lavoro. Anzi, per essere ancora più chiari sul messaggio che si vuole lasciare, riprendendo le parole del nostro Garante Privacy: «Le due più grandi sfide per la nostra società penso siano il riscaldamento globale e la sicurezza dello spazio digitale».
La rubrica “Sicurezza nell’era della Digital Transformation”
Questo articolo rientra nella rubrica curata dagli esperti legali di P4I-Partners4Innovation che fa il punto sulle figure professionali, sui framework normativi e su come affrontare l’avanzata delle nuove tecnologie gestendone i rischi.
Leggi anche
Garantire sicurezza nell’innovazione: i 10 elementi che lo rendono possibile
Un approccio innovativo per la prevenzione del rischio: il nuovo ruolo del Compliance Officer
Sistemi di controllo, è l’ora dell’audit as a service