PROTEZIONE DATI PERSONALI

Imprese e GDPR, la fase 2: ecco come raggiungere una conformità sostanziale

Le imprese devono mettere l’organizzazione al centro della compliance GDPR: senza questa focalizzazione, il rischio è di spendere per risultare comunque non conformi. Vincere questa sfida consentirà di sviluppare una cultura aziendale utile o, forse, decisiva, in tante altre sfide che aspettano le imprese italiane, a partire dalla sostenibilità e dal cambiamento sotteso

21 Feb 2022
F
Sergio Fumagalli

Senior Partner di P4I - Partners4Innovation

Per le imprese, che siano titolari o responsabili del trattamento, la compliance al GDPR è una questione innanzitutto organizzativa.

È scritto chiaramente nel Regolamento UE che, al Capo IV: Titolare del trattamento e responsabile del trattamento. Sezione 1: obblighi generali. Articolo 24: responsabilità del titolare del trattamento. Paragrafo 1, recita testualmente: “[…] il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. […]”.

Senza un’organizzazione, cioè personale e strumenti tecnici, procedure, ruoli e responsabilità formalmente assegnati e tutta la formazione e l’impegno del management necessari perché lo sforzo aziendale sia efficace, nessuna azienda può assicurare la protezione dei dati personali né i diritti e le libertà degli interessati.

Quindi, senza un adeguato sforzo organizzativo, nessuna azienda può essere conforme al GDPR.

GDPR, una protezione tra rischi e pericoli per le persone fisiche e per l’economia

Imprese e GDPR: difficoltà reali della compliance normativa

In questi tre anni dal 25 maggio 2018, la compliance al GDPR è stata, invece, considerata innanzitutto un tema da legali: l’ufficio legale interno o i consulenti legali. In subordine, un tema di cyber security, l’altra categoria di esperti a cui è stata riconosciuta una competenza specifica.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza

Il resto dell’azienda ha guardato dal di fuori, felice di non essere coinvolta più di tanto ed enfatizzando, in caso contrario, la specifica incompetenza sull’uno o sull’altro aspetto.

Certo, nessuna situazione è tutta bianca o tutta nera. Ci sono aziende che hanno affrontato il tema in modo equilibrato. Ma l’immagine descritta è ragionevolmente realistica in moltissimi casi, indipendentemente dai soldi spesi, tanti o pochi, e dal consulente scelto.

La difficoltà a intervenire sull’organizzazione, cioè a modificare il modo di lavorare quotidiano e i contenuti professionali dei diversi ruoli è motivata da alcune ragioni fondate e da altre riconducibili alla non adeguata percezione del problema e dunque alla sottostima della profondità della trasformazione digitale.

Di fronte alla rilevanza e alla complessità del tema affrontato dal GDPR, soprattutto in queste decadi di rivoluzione digitale, ci sono due vie di fuga in cui è invitante e quasi spontaneo rifugiarsi: da un lato la sottovalutazione, cioè la tendenza a derubricare il tema a “burocrazia inutile” e dall’altro a esasperare i contenuti tecnico-legali così che solo avvocati specializzati e cyber esperti possano capirci qualcosa e occuparsene.

Non sono vie di fuga alternative ma complementari: quanto più si esaspera il latinorum legale o tecnologico tanto più si rafforzano gli alibi di chi ha buon gioco a ridurre il tema privacy allo strapotere della burocrazia improduttiva dei ministeri, dei Governi e di Bruxelles e a disinteressarsene.

Si creano così ruoli di DPO, consulente, legale d’impresa che rischiano di diventare autoreferenziali, confinati nei propri ambiti aziendali e separati dal resto: questo non aiuta di certo la compliance.

Tra le difficoltà reali sta invece il fatto che, in un Paese di PMI ma anche di imprese medio-grandi e grandi, dove lo strato organizzativo è sottilissimo e l’organizzazione è poco strutturata e ancor meno formalizzata, introdurre cambiamenti nel modo di operare per ragioni di compliance è complicato.

Compliance GDPR: perché serve un aggiornamento continuo

Il vero significato della compliance al GDPR

Non è un problema riconducibile ad aspetti meramente quantitativi: aumentare le risorse disponibili non è un problema di budget solamente. Non è facile, anche per aziende medio-grandi, trovare, motivare e trattenere competenze professionali alte e specialistiche per ruoli non sempre a tempo pieno. Adottare un software a supporto è certamente fondamentale ma farlo funzionare nell’operatività quotidiana reale è un problema ulteriore che rimanda all’organizzazione complessiva.

Il punto è di merito e riguarda il significato della compliance al GDPR per le aziende grandi e piccole: dopo tre anni passati a produrre un’informativa dopo l’altra, clausole e allegati per la nomina dei responsabili del trattamento, autorizzazioni al trattamento per i dipendenti e i collaboratori, bilanciamenti di interessi e, soprattutto, una mole imponente di DPIA, spesso consistenti nell’affermazione dell’ovvio, è giunto il momento, non più eludibile, di accettare il fatto che la compliance, per le imprese, è innanzitutto un tema organizzativo e che, senza una adeguata e proporzionata organizzazione, gli interventi specialistici, legali di cybersecurity o di data governance, possono risolvere solo aspetti puntuali in un certo momento ma non garantire la compliance.

A partire dalla necessità di mantenere aggiornato l’imponente corpo documentale prodotto, innanzitutto il registro dei trattamenti (art. 30) e le correlate informative, per proseguire con la corretta proceduralizzazione del processo di gestione degli acquisti da fornitori responsabili di trattamento (art. 28) e per arrivare, risalendo il fluire ordinato degli articoli, all’articolo 25, il secondo della sezione 1 del capo IV del GDPR, dopo quello sopra ricordato: la protezione dei dati personali fin dalla progettazione e per impostazione definita.

L’articolo 24, citato all’inizio, è certamente uno degli articoli più importanti e, al contempo, più trascurati del GDPR, proprio perché contiene una prescrizione di natura esclusivamente organizzativa e dunque poco comprensibile e poco stimolante per legali e cybersecurity e, forse, troppo comprensibile per il management.

È infatti evidente a chiunque che, dato un corpo documentale corretto e coerente per una certa organizzazione in un certo istante t0, il mantenimento di correttezza e coerenza all’istante t1 dipende solo da come è stato regolato e documentato il cambiamento intercorso nell’organizzazione tra t0 e t1: il nodo cruciale del mantenimento della compliance nel tempo sta nella gestione del cambiamento che è esattamente l’oggetto dell’art. 25, cioè della data protection by design e by default.

Adeguamento delle imprese al GDPR: un problema di organizzazione

La domanda successiva è, conseguentemente: dove avviene il cambiamento in azienda? E chi lo controlla? La risposta alla prima domanda è: ovunque. Alla seconda è: puntualmente c’è sempre un responsabile, complessivamente nessuno.

È chiaramente un’iperbole. I grandi cambiamenti sono controllati anche perché si trascinano grossi budget e grandi aspettative. Però, la vita di un’azienda è fatta di una dinamica inevitabilmente distribuita e le soglie di responsabilità e di autonomia decisionale, considerato il costo decrescente delle tecnologie, consentono spesso investimenti locali, finalizzati a obiettivi specifici di cui c’è poco controllo centralmente, soprattutto in riferimento ad aspetti non primari come la protezione dei dati personali.

Insomma, l’articolo 25 non è applicato, non sempre per cattiva volontà ma perché è difficile da applicare, senza un’organizzazione strutturata e una volontà determinata del management.

Non è tanto un problema di costi ma proprio di organizzazione. E questa è la sfida dei prossimi anni: assicurare che il cambiamento fluisca senza intralci dal reparto che lo genera nel registro dei trattamenti. E lo faccia con naturalezza, per sua stessa inerzia. E che conseguentemente si adeguino le informative, i contratti e le misure di sicurezza e tutto il resto.

Dunque, il cuore del lavoro dei prossimi anni è organizzativo, prima che legale o tecnico. Per garantire la corretta gestione del cambiamento e dell’innovazione e documentare, motivandole, le scelte finalizzate a una conformità sostanziale e non meramente formale al GDPR, concentrata sugli aspetti rilevanti e non sui cavilli ed equilibrata. Anche prendendosi dei rischi motivati e documentati, in relazione al contesto operativo e alle compatibilità economiche.

Alle imprese serve una conformità sostanziale al GDPR

Per mettere a fuoco il concetto di conformità sostanziale contrapposto a quello di conformità meramente formale, è utile fare riferimento alle valutazioni preliminari di impatto, le famigerate e già citate DPIA.

Se si applicano meccanicamente le indicazioni scritte nei vari provvedimenti delle Autorità di Controllo o le regole cablate nel famosissimo tool del Garante francese diventa, infatti, non semplice individuare trattamenti che non richiedano una valutazione preliminare di impatto.

Questa proliferazione, però, contraddice l’obiettivo sostanziale degli artt. 35 e 36 perché trasforma la DPIA in una specie di tassa burocratica obbligatoria e meccanica, senza alcun contenuto sostanziale rilevante: un obbligo formale da onorare al minor costo possibile. Il rischio è che il numero di DPIA diventi, di fatto, la misura del potere del DPO o il forecast del consulente.

Peccato che l’articolo 35 del GDPR inizi così: “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie […] può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” e dunque perché fare una DPIA se si cambia l’ERP? E’ solo allorché sono previste nuove tecnologie, dunque, che nasce la necessità di considerare i criteri di cui sopra per determinare la necessità della DPIA, non tutte le volte che un trattamento (magari in essere da vent’anni) soddisfa due delle condizioni previste dal Garante.

L’aspetto sostanziale e quello formale confliggono: più DPIA si fanno, più si banalizza e si burocratizza il processo e meno si riesce ad assicurare il dovuto approfondimento. Invece, è proprio di quello che abbiamo bisogno perché le nuove tecnologie, soprattutto se mescolate insieme, comportano facilmente implicazioni davvero gravi per i diritti e le libertà degli interessati. Basti pensare al mix fra cloud, big data, IA ed esportazione di dati extra EU.

Conclusione

Tornando al mettere l’organizzazione al centro della compliance: senza questa focalizzazione, il rischio è di spendere per risultare comunque non conformi. Cioè, spendere senza ridurre il rischio di compliance che, peraltro, non si esaurisce nel rischio di sanzioni o di contenziosi ma contiene anche, in molti contesti, un rischio di sostenibilità del business stesso perché i dati personali ne sono sempre più un asse portante e la legittimità e la correttezza del loro utilizzo costituiscono un tema che non può essere trascurato o sottovalutato.

Non è una sfida facile e ci vuole molto buon senso, anche nell’Autorità di Controllo, per vincerla, ma alla fine, chi l’avrà vinta, si troverà ad aver sviluppato una cultura aziendale utile o, forse, decisiva, in tante altre sfide che aspettano le imprese italiane, a partire dalla sostenibilità e dal cambiamento sotteso.

WHITEPAPER
DATI: fonte imprescindibile per le aziende! PROTEGGILI e mantienili CONFORMI alle regole
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr