Tra le molte iniziative, SAPha recentemente organizzato l’eXperience Day presso la propria sede di Vimercate, un momento formativo di alto livello per i professionisti. L’appuntamento non ha avuto la pretesa di raccogliere tutto quanto sia necessario conoscere circa l’imminente entrata in vigore del GDPR, ma è stato un utile ripasso delle priorità e dei punti fermi imposti dalla normativa. Di fatto, il GDPR impone alle aziende requisiti e obblighi, molte realtà dovranno rivedere o modificare la gestione dei dati, con un’attenzione particolare sulla sicurezza del processo. Tuttavia ridurre la norma solamente a “obblighi e doveri” potrebbe essere riduttivo. Come ripetono da tempo tutti gli esperti del settore, il GDPR non è soltanto un vincolo, ma può rappresentare una opportunità per introdurre in azienda strumenti e processi per una vera innovazione.
Durante l’eXperience Day, un pool di esperti SAP e EY, hanno messo a fuoco le priorità, tratteggiando un quadro dettagliato delle novità introdotte dalla normativa. Sono intervenuti Stefano Ceccarelli, Sales Director – Innovation Team, SAP Italia, Nicolò Moschi e Sales Executive – Finance, Risk and Compliance, SAP Italia, Silvio Arcangeli, Senior Director, Platform – Integration, SAP EMEA South, Daniela D’Amore, SAP Finance and Risk Management Presales, SAP Italia e, in collegamento da Londra Uri Bahar, Director, Solution Architecture EMEA, Gigya an SAP Company.
Un connotato fortemente tecnico e normativo di alto profilo è stato raggiunto grazie all’apporto di Luigi Neirotti, Avvocato, CIPP/E, Digital Law & Data Protection, EY Law e di Andrea Mariotti, Associate Partner Cybersecurity & Data Protection, EY Advisory.
Dopo aver evidenziato la crescita di SAP negli anni e il ruolo di “accompagnatore” verso uno sviluppo digitale per i propri clienti, il Sales Executive Moschi ha sottolineato il buon andamento societario. SAP conta oltre 7.000 clienti, più del 70% delle transazioni nel mondo tocca, in qualche modo, una piattaforma o un sistema SAP.
Con l’intervento dell’Avvocato Luigi Neirotti, si è immediatamente entrati nel vivo della norma, con un approccio analitico che ben si presta alla materia. In primis, il GDPR deve essere visto come opportunità, come una possibilità di aggiornare meccanismi di lavoro e gestione del dato che ormai sono obsoleti. Applicando la norma sarà possibile ricostruire il percorso dei dati, capire il ciclo di vita degli asset e iniziare un percorso di valorizzazione dei dati stessi, abbattendo le attuali struttura a silos. La norma, varata il 27 aprile 2016, ha previsto un periodo di adeguamento di due anni e sarà attiva dal 25 maggio 2018. Trattandosi di una direttiva non richiede alcuna forma di legislazione applicativa da parte degli stati membri. Nonostante questo, le singole leggi nazionali vigenti rimarranno valide, saranno verosimilmente integrate.
Di fatto, il GDPR introduce concetti generali e linee guida approvate dal gruppo dei garanti europei, senza che esse vadano a sostituire in toto la legislazione attuale. Attualmente sono in fase discussione le norme di completamento in alcuni Paesi (tra questi Italia, Spagna e Francia). Il pacchetto raccoglie dunque un sistema di norme non più limitate ai singoli stati, ma globali e va a protegge per primi i cittadini, sia dall’invadenza dello stato e sia dalle imprese che trattano i dati personali. Queste norme si adeguano alle tecnologie moderne e risolvono problemi di frammentazione nelle legislazioni nazionale, di evoluzione tecnologica e obsolescenza e di inadeguatezza delle sanzioni. Si ha dunque una nuova classificazione dei dati personali, quelli che riguardano direttamente o indirettamente una persona fisica, come per esempio un numero identificativo (vedi codice fiscale, codice bancario). Le categorie particolari includono i dati sensibili come: l’origine etnica, la religione, gli aspetti filosofici e lo stato di salute (in questo contesto l’età e il patrimonio economico non sono considerati dati sensibili). Tra le nuove categorie rientrano i dati biometrici, che specificano caratteristiche fisiche e fisiologiche, e possono essere statici o dinamici, come l’impronta digitale o l’iride, la firma o la camminata di un soggetto. In questo senso i parametri previsti dal GDPR si applicano ai dati delle persone in azienda e ai clienti della stessa.
Particolarmente importante, sono addirittura di primaria validità, la norma introduce il concetto di “Accountability”, il principio di responsabilizzazione e documentazione. Fissa alcuni principi base e lascia all’azienda gli strumenti per la protezione e la gestione delle responsabilità. In questo ambito gli aspetto di processo diventano fondamentali. La documentazione delle attività è fondamentale. Esistono dunque ruoli specifici, a partire dal Responsabile del Trattamento, i trattamenti del Responsabile sono disciplinati da un contratto o altro atto giuridico. Questa figura è responsabile dell’attuazione delle misure di sicurezza e non ricorre ad altro Responsabile senza previa autorizzazione del Titolare. Non solo, è responsabile della compliance normativa per il trasferimento dati. Oltre al Titolare del Trattamento e ai Contitolari e Rappresentati, debutta la figura del DPO, o Data Protection Officer. Il DPO riferisce al vertice gerarchico del Titolare o del Responsabile del trattamento, rispetta il requisito dell’indipendenza e dell’assenza di conflitto di interessi e coopera con l’autorità di controllo. Ha un ruolo di indirizzo e controllo e Fornisce consulenza al Titolare e al Responsabile, sorveglia l’osservanza del Regolamento e fornisce un parere sul Privacy Impact Assessment.
Per raggiungere la compliance è dunque necessario ripensare i processi secondo un Risk-based approach, effettuando la mappatura dei dati personali e delle tipologie di trattamento.
Quali sono dunque gli adempimenti fondamentali da rispettare per il 25 maggio? È necessario istituire il registro dei trattamenti, verificare informative e consensi, abilitare processi di risk assessment, verificare che le misure di sicurezza messe in atto siano adeguate. È inoltre importante definire una governance per la privacy che interessi il Titolare, i Responsabili del trattamento e il Data Protection Officer.
Per chi sviluppa da zero una infrastruttura, ma anche e soprattutto per le attività già in essere, è essenziale progettare seguendo i canoni “Privacy By Design” e “Privacy By Default”. La Privacy è, di fatto, il fulcro della norma e il sistema che sta per entrare in vigore nasce per proteggere i diritti fondamentali dei cittadini. Il cittadino interessato deve infatti poter esercitare senza vincoli una serie di attività sui propri dati immagazzinati presso l’azienda. Deve essere possibile accedere ai dati, così come deve essere consentita la rettifica, l’opposizione, la sospensione e il diritto all’oblio.
