La stretta relazione tra GDPR e innovazione digitale

Il Regolamento europeo per la protezione dei dati interviene direttamente nel rapporto tra innovazione digitale, da un lato, e diritti e libertà delle persone responsabilizzando il Titolare del trattamento, definendo nuovi diritti per le persone, nuove figure di garanzia e nuovi obblighi per le aziende. In particolare, due di questi ultimi, Data protection by design e Data protection impact assessment, costituiscono il filtro attraverso cui ogni innovazione deve passare.

I dati personali sono al centro della digital transformation. Che si parli di servizi alla persona, di auto a guida autonoma, di controllo a distanza della propria abitazione e degli elettrodomestici o di smart working o smart metering il punto cruciale dell’innovazione è trasformare in servizi innovativi per le persone o relativi alle persone l’enorme mole di dati che le nuove tecnologie consentono di raccogliere, analizzare, tracciare, condividere e incrociare.

I fatti di cronaca hanno già fatto emergere i rischi associati a tutto ciò: rischi legati alla sicurezza, ma anche rischi derivanti dall’uso dei dati e da una sottovalutazione delle conseguenze del particolare trattamento che si pone in essere. Rischi non confinati nella sfera digitale ma che possono incidere sulla vita fisica delle persone, provocando danni rilevanti e, talvolta, irreparabili o addirittura mortali.

Il GDPR e il rapporto tra innovazione e libertà

Il Regolamento europeo interviene in questo rapporto fra innovazione digitale, da un lato, e diritti e libertà delle persone responsabilizzando il Titolare del trattamento, definendo nuovi diritti per le persone, nuove figure di garanzia e nuovi obblighi per le aziende. Tra questi ultimi quelli che vanno sotto il nome di “Data Protection by design” e di “Data protection impact assessment” di cui si occupa questo articolo.

Il Titolare, cioè l’azienda, è individuato dal Regolamento come il soggetto che meglio può valutare come dare attuazione alla normativa nel proprio contesto operativo ed è responsabile (accountable) di questa valutazione e delle scelte conseguenti.

In questo contesto generale, il Titolare deve inserire la protezione dei dati personali tra i vincoli da considerare fin dai primi passi della progettazione di ogni nuovo servizio o prodotto basato su dati personali e di cui tenere conto in ogni fase dello sviluppo del progetto.

Quando poi le caratteristiche del nuovo trattamento possono generare rischi particolari, anche in relazione all’uso di nuove tecnologie, scatta l’obbligo di un approfondimento mirato, l’analisi di impatto sulla protezione dei dati personali, che può sfociare, se ritenuto necessario, nella consultazione (non autorizzazione) preventiva dell’Autorità di controllo (art. 36).

Non sono, dunque, previste autorizzazioni preventive, come invece avviene oggi. La valutazione finale sulla rispondenza del nuovo servizio ai requisiti del GDPR rimane in capo al Titolare che se ne assume la piena responsabilità.

In questo modo, l’intero processo di innovazione rimane sotto il controllo del Titolare: i tempi dell’innovazione non sono più condizionati dall’efficienza di un soggetto esterno, come il Garante, o dalla capacità di questo di capire e valutare tecnologie, contesto e impatto.

Naturalmente il Titolare è tanto libero quanto “accountable” delle scelte che fa: le deve documentare e deve saper dimostrare la rispondenza di queste ai requisiti regolamentari, avvalendosi del Data Protection Officer quando questa figura è presente. Di questo può essere chiamato a rispondere da un’ispezione o da un giudice ordinario in seguito, ad esempio, ad una class action promossa dagli interessati.

Strumenti di governo della digital transformation

Data protection by design e Data protection impact assessment costituiscono, quindi, il filtro attraverso cui ogni innovazione deve passare: sono cioè lo strumento di governo della Digital transformation per quanto attiene il rispetto delle libertà e dei diritti delle persone nell’era digitale. La loro valenza non riguarda tanto i trattamenti in essere quanto tutta l’innovazione digitale che dal 25 maggio 2018 investirà le imprese e la società, da qualunque area geografica arrivi e qualsiasi finalità persegua (Fonte infografica Partners4Innovation).

Questo è il contesto generale. Alcuni approfondimenti però si impongono.

  1. Data Protection by Design e Data Protection impact assessment non riguardano solo le esigenze di sicurezza del dato personale. La sicurezza è uno dei sei principi applicabili al trattamento dei dati personali che sono elencati al primo comma dell’articolo 5 del GDPR. Anche gli altri cinque devono essere valutati, per come sono declinati dagli articoli che li sviluppano. Non si tratta, quindi, di articoli con un profilo esclusivamente tecnologico, di competenza del CIO o del CISO.
    Se si parla di rischio, a questo proposito, si deve intendere il rischio conseguente al mancato rispetto del GDPR: Data protection by design e Data protection impact assessment riguardano, per così dire, la fisiologia del trattamento non solo la patologia (artt. 32, 33, 34).
  2. Gli attori primari, quelli che innescano queste procedure, non sono i professionisti della protezione dei dati personali, quelli che in azienda conoscono la norma e la trattano quotidianamente, ma i progettisti dell’innovazione, cioè soggetti del tutto diversi, difficili da individuare a priori perché dispersi nell’organizzazione, e con una formazione e una professionalità che raramente include competenze legali o una conoscenza approfondita della normativa.
  3. L’innovazione non sempre è pianificata centralmente. Il costo di una app rientra ormai in budget anche assai ridotti che non richiedono particolari approvazioni per essere spesi ma le implicazioni di quella app possono essere assai rilevanti per i dati personali di milioni di persone e, conseguentemente, possono esporre il Titolare, cioè l’azienda, a rischi assai rilevanti e sotto diversi profili.
    Intercettare l’innovazione là dove avviene e nel momento in cui avviene è la sfida che questi articoli del GDPR pongono alle imprese.

    Più che concentrarsi su complicate metodologie di Data Protection by design o di Data Protection impact assessment, è dunque essenziale lavorare per assicurarsi che:
  4. la consapevolezza della criticità del trattamento di dati personali in ogni processo di innovazione diventi un elemento acquisito dalla cultura aziendale. Nessuno progetta nuovi servizi, grandi e piccoli, senza preoccuparsi, ad esempio, dei costi di attuazione e di esercizio: allo stesso modo nessuno dovrà farlo senza pensare alla protezione dei dati personali. Non è essenziale che tutti diventino esperti di Data Protection ma che tutti siano consapevoli del problema e sappiano/possano coinvolgere un supporto adeguato.
  5. le procedure da attivare per gestirle correttamente esistano e siano semplici, chiare, conosciute e facilmente raggiungibili e utilizzabili da chiunque. Soprattutto nei primi periodi di applicazione della nuova normativa una metodologia complessa e onerosa sarebbe un ostacolo, non un aiuto alla compliance sostanziale delle aziende. Il primo obiettivo è che ogni innovazione, grande o piccola, costosa o gratuita, sia valutata secondo questi articoli del GDPR. Quando poi la maturità delle organizzazioni sarà adeguata, bisognerà imparare a essere selettivi, usando metodologie specializzate in funzione delle tecnologie utilizzate e con gradi di complessità diversi in funzione del tema in oggetto.

In sintesi: è il rapporto fra azienda e innovazione a dover essere reso conforme al GDPR, con tutta la complessità che questo comporta. Non è un tema limitabile a chi si occupa di compliance, è un tema che riguarda l’intera organizzazione.

Il Regolamento europeo per la protezione dei dati è stato adottato il 27 aprile 2016 ed è entrato in vigore dal 25 maggio 2016. Verrà applicato a partire dal 25 maggio 2018.

Il GDPR è strettamente connesso alla gestione e alla sicurezza del dato, uno dei pilastri della nostra visione d'ufficio, ed è stato l'argomento centrale di uno dei seminari della Scuola d'Impresa.

Visto il successo, l'interesse suscitato e l'attualità della tematica, all'interno delle due giornate di Porte Aperte Office Evolution - Digital Workplace sarà a disposizione un consulente in grado di rispondere alle tue domande sulla sicurezza delle informazioni aziendali e sulla valutazione dei rischi relativi alla protezione dei dati.

Iscriviti qui.

 

 

[Fonte ZeroUnoweb.it, articolo di Sergio Fumagalli, 02.10.2017]

Contatti

Vuoi richiedere una consulenza gratuita?
Vuoi provare le app gratuite per multifunzioni Ricoh? 

Scrivici, un nostro incaricato risponderà alle tue richieste

Continua

Resta aggiornato

Inserisci il tuo indirizzo e-mail per iscriverti a questo blog e ricevere via e-mail le notifiche di nuovi articoli.