GDPR e non solo: linee guida per trovare il giusto equilibrio tra tecnologia, diritti ed etica

GDPR e non solo: sono tante le priorità delle politiche nazionali e le sfide per le aziende sempre più coinvolte in un momento di cambiamento dove occorre trovare il giusto equilibrio tra scelte tecnologiche, innovazione, diritti, libertà ed etica e così cogliere le opportunità di un nuovo panorama normativo e culturale.

GDPR e non solo: presupposti per una rivoluzione

Dal 25 maggio 2018 con la diretta applicazione del Reg. UE 2016/679 (GDPR) è stato posto l’accento sulla necessità di una sempre maggiore consapevolezza ponendo al centro la tutela di diritti e libertà delle persone fisiche, la libera circolazione e dunque la protezione dei dati personali.

Ma quella che sembrava in realtà una scadenza improrogabile e tassativa si è rivelata, per le aziende stesse, una vera e propria sfida, una sfida, un anno fa, solo all’inizio di un percorso che ha visto via via lasciare andare la pressione di un termine asseritamente “perentorio” per meglio comprendere le fasi da affrontare e riuscire così a creare i presupposti per una rivoluzione in cui giocano un ruolo fondamentale persone, processi e tecnologie.

Perché se è vero che prima del 25 maggio è stata sentita quanto mai impellente la spinta della norma e delle sanzioni ad essa connesse, è vero anche che una volta approcciati i programmi di compliance, i soggetti coinvolti, tutti, hanno compreso la necessità di calare opportunità e cambiamento, a seconda degli impatti più o meno rilevanti, all’interno del proprio modello organizzativo.

I principi e i presupposti di partenza, non senza difficoltà, hanno così iniziato a permeare i processi ridefinendo ruoli e responsabilità e rivedendo, non in una visione reattiva, bensì proattiva, l’organizzazione dove è sempre più forte la necessità di procedere al passo con la tecnologia con quello stato dell’arte di cui il regolamento stesso parla, e di farlo non senza tener conto del fattore umano potendo così cogliere le opportunità di una norma che pone al centro le scelte operate, l’accountability del Titolare del trattamento e tutto il mondo dei diritti sottesi all’impiego tecnologico, ai processi delle aziende ed al valore dei dati stessi.

GDPR e non solo: opportunità e difficoltà

Non un approdo ma un nuovo inizio e non senza difficoltà.

• Spesso si parla di misure organizzative, ma le misure organizzative adottate nelle aziende hanno portato le organizzazione anche a ridefinire ruoli, responsabilità e processi con una esigenza sempre più sentita ovvero quella di coinvolgere tutte le funzioni impattate affinchè queste possano essere in grado di condividere strategie univoche e garantire il giusto livello di attenzione considerata l’importanza dell’analisi dei rischi, la mappatura dei trattamenti attraverso il registro, la valutazione di impatto. Il cambiamento sopra descritto sempre più, pertanto, ha portato e porterà alla necessità che vi siano la massima interazione ed integrazione anche tra i sistemi (modelli di gestione), perché non solo il GDPR ma anche tutte le ulteriori normative e regolamentazioni, possano essere colte ed applicate, così come pure sempre più sentita è la necessità di ricorrere a programmi di formazione effettivi e concreti.
• I punti di contatto tra le diverse norme (si pensi agli standard internazionali ed all’HIGH LEVEL Structure che li caratterizza) consentono una vera e propria armonizzazione a tutto vantaggio della necessaria dinamicità e del necessario monitoraggio e miglioramento continuo nonché in punto all’approccio “risk based”. L’armonizzazione consente infatti di poter gestire in maniera conforme ed in modo efficace la privacy aziendale perseguendo allo stesso tempo l’ottimizzazione delle risorse ed il raggiungimento degli obiettivi dell’organizzazione e tenendo monitorati i rischi al fine di applicare misure di sicurezza adeguate.
• Un modello di gestione efficace, integrato e in grado di permeare i processi aziendali metterebbe in evidenza le scelte operate, la ratio ad esse sottesa e consentirebbe ai Titolari del trattamento di poter ottemperare all’onere di accountability sancito dalla norma.
• L’accountability quale onere di responsabilizzazione a carico del Titolare del trattamento richiede di essere in grado di rappresentare ciò che è stato fatto in particolare al fine di consentire ai soggetti interessati l’esercizio dei diritti ma anche e soprattutto di essere in grado di affiancare e collaborare con l’Autorità di controllo in sede di reclamo o di ispezione.
• Dall’esigenza di interazione e compenetrazione non si può prescindere anche in punto alle ulteriori norme e regolamenti si pensi, per citarne qualcuna, alla direttiva NIS, al regolamento e E-privacy alla direttiva PSD2 ed a tutto quell’insieme di regolamentazioni che via via si rendono indispensabili.
• Ai fini delle scelte di compliance resta inteso che sempre più sentita è l’esigenza di vedere pienamente attuati i disposti di cui agli artt. 40 e ss. del GDPR in particolare con riferimento all’applicazione dei codici di condotta e ai meccanismi di certificazione. Detti passaggi fornirebbero indubbie garanzie e risponderebbero all’esigenza di uniformità applicativa considerati anche ambiti specifici, l’impegno di Titolari e Responsabili e le esigenze anche e soprattutto di micro, piccole e medie imprese.
• La conoscenza e il concreto operare della norma e gli spunti di riflessione sin qui condivisi ci fanno pensare all’ impatto della tecnologia, alle scelte di applicazione e di investimento sempre più determinanti ed alla necessità che il mondo dei diritti e la tutela dei singoli vengano bilanciati per consentire, sotto la spinta dell’innovazione, l’espandersi del modello digitale.
• In questo modello la convergenza tra diritti dei singoli, scelte etiche, innovazione tecnologica, diritti e libertà del mercato e sicurezza dei dati e delle informazioni, sarà fondamentale.
• Il GDPR unitamente alle ulteriori norme e regolamenti che sempre più cercano di disciplinare a seconda dei diversi contesti aspetti fondamentali inerenti in particolare la sicurezza e lo sviluppo economico, dovranno fungere da vero e proprio traino ed essere colti quale opportunità per tutti i soggetti coinvolti in una visione dove etica, fiducia e sostenibilità saranno i valori determinanti.
• L’innovazione e le tecnologie dovranno insomma diventare sempre più una risorsa in un’ottica by design accompagnando lo sviluppo dei modelli di AI e così anche e soprattutto di nuovi modelli di business.
• Nello scenario illustrato vale la pena soffermarsi sul ruolo delle figure che hanno il compito di affiancare il Titolare del trattamento ed in particolare ci si riferisce al DPO. Fondamentale il suo ruolo in caso di necessità di affiancamento e collaborazione con l’Autorità di controllo nonché ai fini della diffusione della cultura della privacy attraverso la trasversalità sin qui emersa e la necessità di vedere coinvolti processi, funzioni e sistemi di gestione anche attraverso programmi di formazione determinanti per accrescere la consapevolezza.

Conclusioni

Ecco allora che ancora una volta viene in soccorso la norma ed il suo nuovo approccio, vengono in rilievo le scelte guidate dalle esigenze del GDPR e non solo, dall’analisi del contesto e dei rischi, viene in rilievo il fattore umano, vengono in rilievo strategie e sfide che possano traghettarci tutti (DPO compresi) verso la necessità di metabolizzare quanto fatto verso la non paura ed il non timore dell’innovazione tecnologica e verso una digitalizzazione per la quale, nei diversi ambiti (sia esso pubblico o privato) c’è ancora moltissimo da lavorare così come ancora molto c’è da lavorare per quel concetto di sicurezza che va di pari passo con il valore dei dati.