La riflessione

GDPR e PMI: parte il progetto Smedata, ma c’è troppa teoria e poca pratica. Che c’è da sapere

Si è svolto nei giorni scorsi il primo incontro del progetto Smedata, volto ad aiutare le PMI nel lavoro di compliance al GDPR. Tuttavia, si è trattato di un evento teorico, che non ha affrontato casi pratici

25 Set 2019
S
Sabrina Salmeri

Consulente privacy e Co-Founder di Mindwell


Il progetto Smedata è partito con un incontro organizzato il 18 settembre 2019, presso il Dipartimento di Scienze Giuridiche dell’Università di Firenze. L’obiettivo è quello di supportare le piccole e medie imprese (PMI) impegnate negli adempimenti previsti dal GDPR, relativo alla protezione dei dati personali.

In contemporanea, al Palazzo di Giustizia, sempre a Firenze, si svolgeva un analogo incontro rivolto però ai “professionisti del settore legale”. La task force, composta da membri dell’Ufficio del Garante per la protezione dei dati personali e giuristi dell’Università degli Studi RomaTre, ha affrontato molti temi critici per i diversi operatori nel settore della Data Protection presenti in sala.

Tuttavia, sarebbe stato preferibile puntare su argomenti pratici, per fornire consigli concreti su come agire.

L’evoluzione della normativa

L’incontro è stato introdotto da Daniele De Paoli, Vicesegretario Generale dell’Ufficio del Garante, che cura l’esame degli affari riguardanti i trattamenti di dati personali effettuati da soggetti privati, con particolare riguardo all’ambito economico e produttivo.

Con una giusta precisazione del termine “General”, De Paoli ha specificato che la normativa sulla protezione dei dati personali non si ferma alle norme contenute nel GDPR. Il Regolamento è un testo singolare: rappresenta un importante elemento di novità, di trasformazione della normativa di riferimento, ma “non si deve prescindere dal dato della continuità rispetto all’esperienza in materia di protezione di dati personali che abbiamo vissuto in Europa e soprattutto in Italia negli ultimi vent’anni”.

Questa legittima precisazione appare necessaria ancora oggi, a due anni dalla pubblicazione del Regolamento Europeo. Quest’ultimo è una sorta di costituzione, contenente una lunga elencazione di principi generali che poi dovranno essere riempiti da una interpretazione che sarà data dai provvedimenti delle Autorità Garanti europee, ma anche da altri organismi (la Commissione Europea, dal Comitato Europeo per la protezione dei dati personali ecc.) e dalle decisioni della Corte di Giustizia Europea.

Il codice di condotta per i SIC

Alla fine del suo intervento, è stata annunciata la pubblicazione del Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti, che peraltro è già disponibile da oggi sul sito del Garante privacy.

WEBINAR
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Sicurezza
Sicurezza dei dati

Alcune delle principali novità sono:

  • maggiore tutela dei diritti delle persone interessate;
  • informazioni più complete sui trattamenti dei dati effettuati dalle società aderenti al Codice;
  • estensione dei dati censiti anche al leasing, al noleggio, ai presiti tra privati;
  • i dati storici positivi potranno essere conservati per 60 mesi;
  • trasparenza nelle decisioni, in particolar modo in caso di negazione del credito eseguito da analisi automatizzate;
  • adozione di ulteriori misure a tutela della sicurezza dei dati e contro gli accessi illeciti.

Dati personali e rapporto di lavoro

Dopo una rapida disamina sulla liceità del trattamento e sulla gestione dei rapporti con gli “interessati”, Matteo Verzaro, ricercatore in Diritto del Lavoro all’Università Sapienza di Roma, ha analizzato il trattamento dei dati personali nel rapporto di lavoro.

Ci si è soffermati in particolar modo sull’uso dei dispositivi in dotazione dei lavoratori, evidenziando che spesso il datore di lavoro non conosce tutte le potenzialità dello strumento di lavoro.

La maggior parte di questi dispositivi, in special modo gli smartphone, vengono infatti prodotti da aziende statunitensi, coreane o cinesi che non hanno di certo come obiettivo primario la privacy by design.

I dubbi pratici delle PMI

L’incontro, nonostante avesse un programma ben definito, è stato alimentato dalle numerose domande dei partecipanti anche durante le relazioni dei vari oratori.

Sarebbe, forse, stato preferibile puntare ad aspetti pratici, come prospettato sul portale del Progetto in cui si prospetta la imminente realizzazione di uno strumento di autovalutazione con funzionalità indispensabili per le piccole imprese:

  • come valutare gli impatti del GDPR su diversi settori economici;
  • come condurre una DPIA nelle PMI;
  • come implementare il GDPR nella vita quotidiana delle PMI;
  • come preparare il personale delle PMI per le sfide del GDPR;
  • come sensibilizzare gli stakeholder delle PMI – personale, management, proprietari, subappaltatori, clienti;
  • come assicurare un apprendimento continuo delle questioni relative al GDPR.

Queste sono le questioni cruciali che ancora oggi le PMI si trovano a dover affrontare. Ci si augura che nei prossimi eventi siano approfondite maggiormente le questioni pratiche che affliggono le piccole e medie imprese.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3