Privacy: tra nuovi obblighi e nuove opportunità
La Privacy è un argomento che negli anni ha assunto un‘importanza sempre maggiore, culminata con l’adozione del Regolamento UE 2016/679 o GDPR (General Data Protection Regulation) che definisce regole univoche da applicarsi in tema di dati personali in tutti i paesi dell’Unione Europea. Per gestire i nuovi requisiti previsti dal GDPR, le aziende devono conoscerli ed essere preparate ad affrontali.
di Sabrina Zapperi
Il punto di svolta nell’ambito della Privacy, un concetto di cui oggi, rispetto al passato, si possiede piena cognizione, è stato sicuramente il 25 maggio 2018, quando in tutti i paesi europei è entrato in vigore il Regolamento UE 2016/679, più comunemente conosciuto come GDPR (acronimo di General Data Protection Regulation), che definisce regole univoche da applicarsi in tema di dati personali in tutti i paesi dell’Unione. La sua introduzione ha cambiato alcune prospettive rispetto alle normative precedenti, come quella relativa alla persona fisica, in quanto il GDPR sposta l’attenzione verso il dato che diventa importante in sé, oltre che materia prima della data economy. Gli altri aspetti di novità riguardano l’informativa, il consenso, l’obbligatorietà di notifica al Garante in caso di violazioni dei dati personali, l’entità delle sanzioni e l’istituzione della figura del Data Privacy Officer, un professionista che da semplice garante diventa un vero manager della data privacy.
A questi cambiamenti se ne aggiunge un altro, che si potrebbe definire sistemico, perché con il GDPR la Privacy diventa a tutti gli effetti un processo aziendale, che necessita di essere gestito nelle sue varie fasi, dal progetto fino alla mappatura dei rischi.
Cresce l’interesse verso la gestione della Privacy da parte delle imprese
Guardando al mondo delle imprese, la necessità di garantire e tutelare i diritti di tutti i soggetti interessati genera la necessità di una gestione compliant della privacy, basata su un sistema organizzativo che vede coinvolte, accanto a capacità e competenze gestionali, altre di tipo tecnico e normativo in ambito ICT. I componenti di un sistema come questo devono essere figure competenti, capaci di un approccio interdisciplinare, per essere di supporto alle aziende nel gestire i numerosi adempimenti previsti dalla normativa Privacy.
L’associazione di riferimento per i professionisti della Privacy, Federprivacy, ha rilevato nel 2018 un incremento degli iscritti del 57,5% rispetto al 2017, un trend sicuramente favorito dall’adozione del Regolamento 679.
“Il dato registrato lo scorso anno è stato un vero e proprio boom di professionisti che hanno rivolto l’attenzione al settore della privacy e alla protezione dei dati. Tuttavia, gli scenari delineano un’ulteriore crescita del fabbisogno di esperti della materia che va anche oltre il GDPR”, dichiara Nicola Bernardi, presidente di Federprivacy. “Nel 2019, infatti, è attesa dall’UE la riforma della direttiva ePrivacy, che riguarda la protezione dei dati personali degli utenti online, la quale avrà un forte impatto sul mondo del digital marketing. In aggiunta sono previste nuove tecnologie come l’intelligenza artificiale e la Blockchain, che implicano un uso massivo di dati personali da governare correttamente per evitare pesanti sanzioni e rischi di incidenti informatici, da cui possono scaturire danni reputazionali enormi per le organizzazioni coinvolte”.
Nuovi obblighi e nuove opportunità
Nuovi obblighi, come quelli previsti dal GDPR, favoriscono lo sviluppo di nuove figure professionali, in questo caso il Privacy Officer e il consulente della Privacy, due professionisti che non possono essere collocati nell’ambito degli ordini professionali riconosciuti dalla legge, ma che possono garantire al mercato esperienza, abilità e competenza nel settore attraverso la certificazione rilasciata da TEI, TÜV Examination Institute, che consente a questi professionisti, superato l’esame di certificazione, di entrare nel registro dei Privacy Officer e Consulenti della Privacy di TÜV Italia.
Le certificazioni rilasciate da TÜV Italia ai professionisti della Privacy sono uno strumento potente di qualifica per questi professionisti e di rassicurazione per il mercato.
“TÜV Italia è stato il primo Ente di Certificazione impegnato, prima ancora della pubblicazione del GDPR, nell’innalzamento qualitativo dei servizi professionali nell’ambito della privacy attraverso la certificazione della figura professionale del “Privacy Officer e Consulente della Privacy”, afferma Maria Fernandez, Business Unit Manager TEI di TÜV Italia. “In collaborazione con Federprivacy abbiamo avviato questo processo certificativo e a oggi sono oltre 400 i professionisti ufficialmente accreditati”.
“In questo contesto è prevedibile che nei prossimi due anni il solo mercato italiano necessiterà di più di 70.000 professionisti specializzati sia negli ambiti giuridici che in quelli informatici della protezione dei dati, ma allo stato attuale quelli adeguatamente preparati sono solo poche migliaia”, aggiunge Nicola Bernardi. “Anche se le opportunità sono effettivamente tante, non ci sono chanches per chi pensa di potersi improvvisare”.
La Privacy è un vero e proprio processo aziendale
Oggi la Privacy è da annoverare tra i processi aziendali, un ambito dove l’informatizzazione dei processi produttivi ha favorito negli anni lo sviluppo di diversi standard specifici (ISO 27001 e ISO 20000 1). A queste si aggiungono le attività di assessment per la Business Continuity, il Disaster Recovery e l’Incident handling, oltre alle verifiche sull’applicazione delle linee guida ISO 31000 sulla gestione del rischio, che sono strumenti molto utili a disposizione delle aziende per comprendere se esse sono in grado di gestire eventuali eventi negativi ai loro sistemi informatici.
“Il Regolamento GDPR ha allargato il focus del “macroprocesso privacy” dalla prevalente dimensione legale dell’adempimento” (nomine, comunicazioni, sanzioni) a un approccio gestionale e sistemico, che si origina dall’obiettivo essenziale di compliance aziendale e si declina in azioni organizzative (attribuzione di ruoli, definizione di policy, formazione e sensibilizzazione), operative (proceduralizzazione dei trattamenti) e tecniche (sviluppo di sistemi e applicazioni per i trattamenti, contromisure per la mitigazione dei rischi di intrusione), mettendo così in evidenza i benefici derivanti dall’adozione di un Sistema di gestione certificabile” dichiara Danilo Diomede, Coordinatore Tecnico degli schemi IT della Divisione Business Assurance di TÜV Italia.
Gestire la conformità al GDPR
Il Regolamento GDPR ha inasprito le sanzioni per chi non rispetta i requisiti in materia di protezione dei dati personali. Le aziende, tramite un semplice applicativo che gestisce a 360° tutto il processo di conformità, potranno comodamente conoscere se sono in linea con quanto disposto dalla normativa. Sabrina Bruschi, Business Line Manager Servizi customizzati della Divisione Business Assurance di TÜV Italia dichiara: “Abbiamo progettato questo software applicativo per poter fornire ai nostri clienti un supporto alla gestione della compliance aziendale. È una web application semplice ed efficace e soprattutto customizzabile in funzione del sistema di controllo e della complessità della struttura organizzativa, che permette di gestire a 360° il processo di raggiungimento e di successivo mantenimento della conformità al Regolamento Europeo sulla protezione dei dati”.
Come costruire l’esperienza?
Da diverso tempo TÜV Italia eroga corsi in ambito privacy, adeguando continuamente la proposta formativa agli aggiornamenti del settore.
“Inizialmente abbiamo sensibilizzato i professionisti su questo tema, organizzando corsi sui contenuti del Nuovo Regolamento”, dichiara Cristina Brodo, Responsabile di TÜV Italia Akademie. “È con la pubblicazione ufficiale del GDPR, nel maggio 2018, che la formazione in ambito Privacy è diventata un tema sempre più centrale e necessario per aggiornare le competenze, soprattutto per chi già operava in questo settore, un must have possiamo dire”. La Privacy è un tema ampio, impegnativo e in costante evoluzione, che deve essere affrontato considerando le sue varie sfaccettature e affidandosi a realtà che possano offrire un valido supporto per affrontarlo, sulla base delle loro caratteristiche, modelli di gestione e necessità.