Avviso
Dal 1° gennaio 2024 diventa operativa l'incorporazione di SOSE in Sogei, come previsto dalla legge n.112 del 2023 che ha disposto la fusione della società.
A tal fine tutte le comunicazioni Sose si trovano sul sito Sogei www.sogei.it.
Il GDRP, il regolamento europeo in tema di trattamento dei dati, nel 2020 compie due anni di applicazione. Un anniversario segnato in realtà dalla recente pubblicazione di una ricerca che vede l’Italia al primo posto in Europa per valore complessivo delle multe elevate alle aziende per violazione delle disposizioni contenute nel GDPR: l’Italia ha infatti incassato ben 45 milioni di euro di multe staccando di molto il secondo paese in classifica, la Svezia, con appena 7 milioni. Approfondiamo la questione con Valentina Di Iuri, legale dell’Unità Amministrazione Finanza e Controllo di SOSE e Data Protection Officer dell’azienda.
Versione testuale del contenuto
Bentrovati. Oggi ci occupiamo di GDRP, il regolamento europeo in tema di trattamento dei dati che nel 2020 compie due anni di applicazione. Un anniversario segnato in realtà dalla recente pubblicazione di una ricerca che vede l’Italia al primo posto in Europa per valore complessivo delle multe elevate alle aziende per violazione delle disposizioni contenute nel GDPR: l’Italia ha infatti incassato ben 45 milioni di euro di multe staccando di molto il secondo paese in classifica, la Svezia, con appena 7 milioni. Per ragionare su questo tema abbiamo con noi Valentina Di Iuri, legale dell’Unità Amministrazione Finanza e Controllo di SOSE e Data Protection Officer dell’azienda.
D - Valentina a due anni dall’introduzione del regolamento europeo che cosa ci dicono questi dati sullo stato di salute del GDPR in Italia?
Personalmente ritengo che questo dato debba essere letto in una duplice chiave: da un lato, certamente, il gran numero di sanzioni comminate dal Garante indica che c’è ancora molto lavoro da fare per conciliare il trattamento dei dati personali con la tutela della dignità delle persone fisiche cui i dati si riferiscono, che è poi l’obiettivo principale perseguito dal Regolamento; dall’altro lato, lo stesso dato è contemporaneamente indice di una maggiore attenzione, a livello nazionale, al rispetto della privacy e di un impulso, da parte del Garante, alla creazione di una cultura della privacy, soprattutto in un periodo come quello attuale in cui il passaggio al digitale ha subito una notevole accelerazione, si pensi alla diffusione dello smart working, e sono aumentati in misura rilevante gli attacchi informatici.
Infatti, secondo la Relazione del Presidente del 2019, gli attacchi informatici sono cresciuti del 91,5% nel settore dei servizi on line e del cloud. In questa chiave, dunque, l’attività sanzionatoria svolta dal Garante va vista come un segnale della maggiore importanza che la materia ha acquisito. Va detto però che, allo stato attuale, non c’è uniformità tra le varie autorità di controllo dei diversi Stati membri in merito all’irrogazione delle sanzioni: ad esempio la Spagna ha irrogato parecchie sanzioni ma di importo ridotto, mentre in l’Iitalia è avvenuto il contrario.
In Italia l’importo complessivo delle sanzioni irrogate è stato più elevato ma si riferisce ad un numero più ristretto di infrazioni, che hanno colpito prevalentemente pubbliche amministrazioni, scuole e società di telefonia, mentre le imprese private, soprattutto di medie dimensioni sono state scarsamente interessate, almeno in questa prima fase di applicazione del GDPR, perché si è voluto tenere conto delle difficoltà anche di carattere pratico ed economico in termini di investimenti informatici che la compliance al GDPR comporta.
D – Parliamo del Data Protection Officer, una figura richiesta dal regolamento europeo, che si pone a garanzia dell’uso regolare dei dati e del rispetto della privacy. Come si esercita questo ruolo all’interno di SOSE?
Il DPO, figura storicamente già presente in alcune legislazioni europee, come quella tedesca, è un professionista che può essere un soggetto interno o esterno all’azienda, con competenze prevalentemente giuridiche. Deve avere, infatti, un’adeguata conoscenza della normativa e della prassi di gestione dei dati personali, nonché una conoscenza delle misure tecniche organizzative utili a garantire la sicurezza dei dati.
Il DPO opera in una posizione di indipendenza ed è designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento europeo.
La sua responsabilità principale, all’interno dell’azienda, è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali, e dunque la loro protezione, affinché questi siano trattati nel rispetto del GDPR ma anche della normativa nazionale.
Oltre a questo, il DPO coopera con l’autorità di controllo, ovvero con il Garante della privacy, ed è il punto di riferimento anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali.
Concretamente, all’interno di SOSE, come DPO, mi occupo, ad esempio, di verificare che tutte le informative relative al trattamento dei dati personali siano rese conformemente al GDPR, di chiarire quale sia la corretta interpretazione e applicazione della normativa, della predisposizione e revisione dei contratti ex articolo 28 del GDPR, che occorre stipulare per la nomina di eventuali ulteriori soggetti cui SOSE affidi il trattamento di dati personali di cui è titolare o responsabile e sorvegliare, in generale, sulla corretta osservanza della normativa in tutte quelle attività aziendali che comportino un trattamento di dati personali.
D – La protezione dei dati e la privacy sono temi strategici non solo per il DPO ovviamente ma è necessario che tutte le risorse aziendali siano responsabilizzate e consapevoli. Quali strumenti si possono adottare per raggiungere questo risultato?
A mio parere uno degli strumenti più importanti per raggiungere questo obiettivo a livello aziendale è sicuramente un’adeguata formazione e sensibilizzazione del personale, che consenta a ciascuna risorsa di comprendere se nello svolgimento delle proprie mansioni sta effettuando un trattamento di dati personali, (come ad esempio raccogliere o venire a conoscenza di informazioni inerenti le persone fisiche, quali i nominativi, codici fiscali...), se occorra acquisire il consenso dell’interessato e fornire l’informativa, se sia possibile trasferire quei dati anche a soggetti terzi, quali ad esempio i fornitori, con cui si dovranno comunque stipulare appositi contratti che regolano il tipo di utilizzo dei dati consentito, oppure se l’attività da svolgere è conforme alla privacy policy prevista dai vari portali dove i dati sono pubblicati. Ciò significa che all’interno di SOSE ciascuno dovrà acquisire consapevolezza che il dato è qualcosa che non può essere utilizzato indiscriminatamente ma secondo regole ben precise che devono essere rispettate per evitare che l’azienda possa incorrere nell’erogazione di sanzioni, che possono arrivare fino al 4% del fatturato totale annuo o incorrere in condanne al risarcimento di eventuali danni causati da un trattamento non corretto o illegittimo.
Bene ringraziamento Valentina Di Iuri, Data Protection Officer di SOSE e ci diamo appuntamento alla prossima intervista.