privacy

GDPR a prova di emergenza sanitaria

Il GDPR ha saputo reggere l’impatto con la Pandemia. In particolare, proprio la norma sulla diffusione delle epidemie, contenuta nel regolamento europeo, ha fatto da scudo.

Ugo Di Stefano entra in Lexellent e apre il dipartimento di Privacy&Corporate Compliance

Lexellent, Studio legale specializzato in Diritto del Lavoro con sede a Milano e Roma annuncia l’ingresso dell’avvocato Ugo Di Stefano in qualità di Senior Partner.

Privacy adeguamenti e criticità per l’e-commerce

Nella puntata di Doppio Binario su Le Fonti TV si è parlato di privacy e degli adempimenti necessari alla gestione dei dati sensibili delle aziende con siti di e-commerce e delle loro criticità. Ospiti della puntata sono stati Claudio Terlizzi, Data Protection Officer dello studio legale Lombardo e Giancarlo Cesare Giorgio General Counsel di Danone.

Privacy, Rödl & Partner lancia la Dpo Academy

Lo Studio internazionale Rödl & Partner inaugura la prima edizione della DPO Academy.

Si tratta di un corso d’alta formazione per la figura di Responsabile della Protezione dei Dati Personali (DPO). Il corso è in fase di qualificazione da parte di CEPAS.

Articolato in 18 moduli con partenza 23 ottobre fino al 23 gennaio 2021, il corso propone un approccio innovativo e multidisciplinare. Nel corso delle lezioni si toccheranno tutti gli aspetti che un Data Protection Officer deve padroneggiare per svolgere al meglio il proprio lavoro: verranno analizzate diverse case history e verrà data ai partecipanti la possibilità di mettere in pratica le nozioni apprese attraverso project work e giochi di ruolo.

“Che si tratti di realtà pubbliche o private, sicuramente per un’organizzazione il data protection officer è una figura molto importante – spiega l’avv. Nadia Martini, partner ed head of data protection di Rödl & Partner in Italia – È, infatti, un professionista interdisciplinare che non solo deve informare e dare consulenza legale sugli aspetti legati alla privacy, ma anche sorvegliare l’osservanza del regolamento GDPR, fornire pareri in merito alle valutazioni di rischio, sensibilizzare i dipendenti, nonché essere il punto di contatto per l’autorità di controllo, l’Autorità Garante Privacy, per qualsiasi problematica o esigenza di quest’ultima.”

Insieme a professionisti certificati e figure chiave operanti nel settore della Data Protection (avvocati, docenti universitari, dirigenti di ampia esperienza), il corso analizzerà le principali tematiche connesse alla privacy, all’implementazione e gestione di policy e modelli organizzativi adeguati, agli aspetti di cybersecurity, di proprietà intellettuale e di diritto del lavoro. Un approfondimento sarà, poi, dedicato alla gestione delle ispezioni da parte dell’Autorità Garante, nonché agli aspetti privacy tipici di altri Paesi.

“Le conoscenze che deve possedere un DPO non possono essere limitate solo a quello che concerne la normativa relativa alla data protection, ma deve avere una preparazione a 360° – sostiene l’avv. Martini di Rödl & Partner – Deve essere un giurista, un esperto di cybersecurity, ma anche un formatore, un controllore, un valutatore dei rischi, con competenze tecniche, esperienze pratiche e una grande capacità comunicativa. Insomma, la sua formazione necessita di essere quanto più possibile multidisciplinare.”

“Proprio a partire da questi presupposti abbiamo sentito l’esigenza di creare un corso d’alta formazione come la DPO Academy – racconta l’avv. Nadia Martini – Il nostro obiettivo è quello di aggiungere a una solida formazione sulla data protection anche nozioni di governance, di valutazione e gestione del rischio, di cybersecurity, di privacy-labour compliance, di proprietà intellettuale. Il tutto completato dall’esperienza internazionale che Rödl & Partner può garantire, grazie alle competenze maturate a livello globale nei 49 paesi in cui lo studio è presente.”

La DPO Academy è strutturata in formula part-time per un totale di 11 weekend (3 mesi per 84 ore in totale). Le lezioni (venerdì e sabato) saranno erogate in modalità live streaming, con possibilità di interazione real time con i docenti.

Nadia Martini nominata partner di Rodl & Partner

Lo studio internazionale Rödl & Partner annuncia la nomina di un nuovo partner: si tratta di Nadia Martini, Head of Data Protection Italy nonché responsabile del team Cyber Security e Intellectual Property milanese.

Nadia Martini è avvocato iscritto all’Ordine degli Avvocati di Milano. Laureata in Giurisprudenza presso l’Università degli Studi di Milano, ha conseguito master e corsi di specializzazione in diritto della privacy e data protection, Information Technologies e Intellectual Property. Ha maturato la propria esperienza professionale presso primari Studi legali italiani ed internazionali, nonché in aziende leader di mercato.

Entrata in Rödl & Partner nel 2016, ha sviluppato e guida la practice di Data Protection in Italia, è inoltre responsabile del team Cyber Security e Intellectual Property milanese e si occupa in prima linea dello sviluppo della nuova service line di Digital Transformation dello Studio. Riveste il ruolo di Data Protection Officer per realtà primarie e presta assistenza e consulenza in favore di società italiane e multinazionali operanti in Italia ed all’estero.

Dalle app ai test sierologici: tutte le criticità in ambito privacy

Nadia Martini, partner di Roedl & partner, spiega le criticità in ambito privacy legate ai nuovi dispostivi per il tracciamento degli individui nella lotta al Covid.

“Applicare gli strumenti di tracciamento dei movimenti nei confronti dei dipendenti, come stanno facendo diverse aziende, potrebbe determinare un controllo a distanza sul lavoratore. Il consiglio per il datore di lavoro, quindi, è di non pensare solo agli aspetti privacy, ma anche a quelli lavoristici, a partire dalla necessità di un accordo sindacale.  La situazione Covid sta aumentando i trattamenti, che devono essere bilanciati, e due tipologie di trattamento, peraltro, non le abbiamo mai viste: la termorilevazione e i test sierologici. A due anni esatti dall’approvazione del GDPR si può pensare a una sua rimodulazione”.

 

Salute, lavoro, privacy: come risolvere il conflitto tra diritti costituzionali

Ciro Cafiero, fondatore dello studio legale Cafiero Pezzali e associati, spiega come bilanciare tre diritti delle persone costituzionalmente garantiti ma entrati in conflitto in questa fase di emergenza.

“Nella prima fase della crisi distinguiamo tra le imprese che non hanno potuto arrestare le produzioni, dove è stato garantito il diritto al lavoro, ma non quello alla privacy, per via dei controlli invasivi, né quello alla salute, per il maggiore rischio di contagio. Per le imprese che invece hanno arrestato l’attività ne è uscito sconfitto il diritto al lavoro, ma sono stati garantiti quello alla salute e alla riservatezza. Si tratta di un conflitto simultaneo che può essere giustificato in fase di emergenza, ma una ipotetica “fase 3″ impone un nuovo bilanciamento di questi tre diritti dotati di dignità costituzionale”.

 

Tracciamento e monitoraggio sono efficaci: legali e attuabili in Italia?

Il metodo utilizzato dalla Corea del Sud si propone, agli occhi del governo italiano come un modello che, mettendo in campo il binomio Big Data e nuove tecnologie, risulta efficace allo scopo di porre un freno – prima – e superare definitivamente – poi – il contagio da Covid-19 e la relativa situazione emergenziale.

Il fulcro di tale modello consiste in un’attenta attività di tracciamento della popolazione – espressamente consentita dalla legge coreana all’autorità sanitaria – attraverso l’accesso ai dati di telecamere di sorveglianza ovvero di GPS di telefoni e automobili, ai dati derivanti da transazioni effettuate mediante carta di credito, nonché ai dati forniti direttamente dai cittadini mediante apposite app. L’obiettivo di tale monitoraggio si declina lungo due coordinate: da un lato ricostruire spostamenti e incontri di cittadini contagiati, dunque creare una mappa del contagio e, dall’altro lato, allertare le persone che potrebbero aver avuto un contatto con un infetto.
Di certo, l’efficacia di tale modello è da ricondurre, oltre che alla particolare attenzione alle catene di contagio, anche alla capacità di effettuare e sostenere una consistente campagna di tamponi accessibili a un largo spettro di cittadini( ) e ad una rigorosa quarantena per i soggetti infetti.

MODELLO APPLICABILE IN ITALIA?
Appurata l’oggettiva efficacia di tale metodo, è necessario interrogarci circa la reale possibilità di importare il modello sudcoreano anche nel nostro paese. L’Italia è davvero in grado di attuare prontamente, sistematicamente, in modo consapevole e responsabile le soluzioni adottate dalla Corea del Sud? Ma soprattutto tali soluzioni sarebbero ammissibili nell’ordinamento italiano? Di certo le profonde differenze politico-culturali, giuridiche e tecnologiche fra la Corea del Sud e l’Italia determineranno più che una vera e propria “importazione” del modello, un adattamento dello stesso ai diversi aspetti della realtà italiana – che meritano, di seguito, un breve accenno .
Primo fra tutti è l’aspetto tecnologico che non pare porre particolari problematiche se non quelle di una maggior implementazione: l’Italia è pronta a raccogliere ed analizzare le informazioni necessarie per delineare la mappa del contagio. Da un lato verrà istituita un’apposita Task Force di esperti e tecnici del Ministero dell’Innovazione e di consulenti esterni per porre in essere l’attività di contact tracing mediante l’affidamento e lo sfruttamento di set di dati anonimi. Dall’altro lato, aziende e start-up hanno già messo a punto applicazioni – scaricabili dai cittadini sui propri dispositivi – che permettono di mappare in tempo reale e ricostruire a ritroso – dunque monitorare e tracciare – gli spostamenti delle persone positive al Coronavirus, di allertare i cittadini a rischio contagio – dunque coloro che dovranno mettersi in auto-quarantena – ed, infine, individuare sul nascere lo sviluppo di possibili nuovi focolai attraverso una sezione di “diario clinico” dove gli utenti potranno registrare anonimamente eventuali sintomi.
Il problema nell’attuazione di un monitoraggio della popolazione in Italia è prima di tutto di natura politico-culturale: il governo deve porre in essere una chiara campagna comunicativo-esplicativa circa la natura delle misure che si vorranno adottare. Infatti, per ottenere i risultati sperati è necessaria la collaborazione dei cittadini, ai quali deve essere chiaro come il tracciamento non sia un’imposizione, ma uno strumento – necessario e ormai imprescindibile – di protezione.
Infine, di centrale importanza è l’aspetto normativo: se, ad oggi, l’Italia è tecnologicamente preparata ad affrontare un “monitoraggio a tappeto”, non lo è dal punto di vista normativo. È evidente che una tale attività comporta necessariamente una compressione del dritto alla protezione dei dati personali pienamente riconosciuto e tutelato nel nostro paese. Dunque, è necessario uno specifico intervento del legislatore che definisca in modo dettagliato le misure, in che termini queste ultime limitino il diritto alla privacy e il loro rapporto con la vigente normativa in materia di protezione dei dati personali al fine di garantirne il pieno rispetto.

LIMITAZIONI AL DIRITTO ALLA PRIVACY:
(SEGUE) POSSIBILI IN TEORIA
Dal punto di vista teorico, la legittimità del trattamento di dati personali del tipo di quelli prospettati non è da escludere a priori.
Invero, la legge può introdurre limitazioni ai diritti della persona a tutela della salute e della sicurezza pubblica, vedasi le deroghe introdotte dalla normativa emergenziale alle libertà di circolazione, associazione e riunione. Una tale limitazione può prospettarsi anche con riferimento al diritto alla protezione dei dati personali, purché avvenga alla luce del principio di proporzionalità e di un attento e calibrato bilanciamento di interessi. Infatti, se è vero che il Legislatore europeo ritiene opportuno che la tutela del diritto alla protezione dei dati personali venga controbilanciata con altri interessi – non necessariamente in piena antitesi con quelli dell’interessato -, è anche vero che ne riconosce la natura di principio e di diritto fondamentale, così come delineato dalla Carta di Nizza (art. 8). Dunque, è possibile intervenire dal punto di vista legislativo in termini di limitazione della privacy, ma è necessario agire con particolare cautela e attenzione per evitare di porsi in contrasto con la normativa di stampo europeo.
Le limitazioni alla privacy non devono essere considerate isolatamente, ma, al contrario, devono essere inserite nello specifico contesto di riferimento che, nel caso di specie, si caratterizza di eccezionalità ed emergenzialità. Una tale situazione non deve giustificare operazioni in deroga al GDPR, ma permette di porre una temporanea limitazione alla tutela del diritto alla protezione dei dati personali “rendendo operative” le deroghe ammesse e previste dalla normativa. Infatti, la disciplina normativa, talvolta rigorosa, prevista dal GDPR non ostacola l’adozione di misure necessarie per affrontare situazioni emergenziali, ma addirittura, prevede disposizioni applicabili anche al trattamento dei dati personali in un contesto come quello relativo al Covid-19. In particolare, i trattamenti che saranno operati dalla Task Force rientrerebbero nell’ambito di applicazione dei presupposti legittimanti il trattamento di cui agli artt. 6, par. 1, lett. d), e); 9, par. 2, lett. g)( ), i) GDPR.
Tuttavia, il quadro normativo di riferimento non si esaurisce con il GDPR, ma comprende anche la normativa nazionale di attuazione della Dir. 2002/58/CE (c.d. Direttiva e-privacy) per quel che riguarda il trattamento dei dati relativi alle telecomunicazioni. L’utilizzo e il trattamento dei dati relativi all’ubicazione e dei dati di localizzazione di dispositivi mobili sono ammessi solo con il consenso specifico dell’interessato, ovvero se adeguatamente anonimizzati (in modo da sottrarli all’ambito di applicabilità della normativa in materia di privacy). Così come il GDPR, anche la Direttiva e-privacy prevede una deroga alle condizioni generali testé menzionate ammettendo l’adozione di misure legislative eccezionali per salvaguardare la sicurezza pubblica, purché siano adeguate, necessarie, proporzionali alle finalità perseguite, conformi alla Carta di Nizza e alla CEDU e limitate al periodo dell’emergenza.
Dunque, alla luce della normativa vigente è possibile legittimare operazioni che comprimono l’ordinaria tutela del diritto alla protezione dei dati personali. Ciononostante, una tale affermazione non deve tradursi, nella prassi, in un “via libera” generalizzato e non deve giustificare azioni improvvisate. Al contrario, il titolare del trattamento deve garantire nella maggior misura possibile la tutela di tale diritto e, dunque, ogni misura deve essere adottata nel rispetto dei principi fondamentali relativi al trattamento dei dati personali. Ciò in quanto le condizioni di liceità – basi giuridiche del trattamento che si andrà ad effettuare – assolvono solo ad una funzione selettiva dei trattamenti ammessi – «a monte» – dalla normativa in tema privacy, invero, per poter considerare il trattamento dei dati personali pienamente conforme al principio di liceità è necessario verificare anche la legittimità «a valle» sulla base delle concrete modalità di svolgimento del trattamento stesso.

(SEGUE) MA IN PRATICA?
Posto che a livello teorico non sussistono preclusioni assolute nei confronti di limitazioni del diritto alla privacy – attuate anche mediante attività di monitoraggio e tracciamento della popolazione -, è comunque necessario agire con prudenza e attenzione nella fase di concretizzazione di tali limitazioni. Invero, il rischio di violare vuoi il diritto alla protezione dei dati personali, vuoi il diritto alla riservatezza, ponendosi così in contrasto con le fonti sovranazionali, è particolarmente elevato.
In primo luogo, infatti, vi è il rischio di divulgare – in modo più o meno esplicito – dati particolari e informazioni personali dei cittadini: una volta tracciati, il governo pubblicherebbe in forma anonima gli spostamenti dei cittadini in modo da consentire a chiunque di essere in grado di capire se ha avuto contatti con persone contagiate. In tal modo, attraverso l’integrazione di diverse informazioni – relative generalmente a luogo e ora dell’incontro – vi è la possibilità che la persona contagiata, seppur nome e cognome non siano pubblicati, sia comunque identificabile, così come vi è la possibilità di rendere pubbliche le vite personali dei cittadini rivelando dati ai quali l’ordinamento dovrebbe garantire una maggior tutela (le c.d. categorie particolari di dati) come quelli relativi alle opinioni politiche, alle convinzioni religiose o all’orientamento sessuale.
Secondariamente, vi è il rischio di porre in essere ingerenze eccessive e sproporzionate nella sfera personale di tutti cittadini. Infatti, è a rischio non solo la privacy dei contagiati – che potrebbero essere tutelati da un effettivo e severo meccanismo di anonimato -, ma anche quella delle persona non ancora contagiate. Per essere avvertiti e allertati circa il rischio di contagio, anche i cittadini sani devono essere monitorati per poter incrociare i loro dati (derivanti da GPS, transazioni con carta di credito, post su social network), con gli spostamenti dei contagiati ricostruiti a ritroso.
Risulta quindi imprescindibile – anche alla luce delle considerazioni relative alla realtà italiana supra esposte – un adeguato intervento normativo che definisca nel modo più chiaro possibile il quadro di azione e in particolare:
• individui in modo specifico il titolare del trattamento, dunque le sue prerogative e le sue responsabilità;
• individui, in concerto con la Task Force tecnica e a seguito di una puntuale valutazione del progetto dal punto di vista tecnico, le modalità e i mezzi mediante i quali verrà effettuato il trattamento;
• individui chiaramente e tassativamente le fonti dei dati oggetto del trattamento. In particolare, se verranno coinvolte piattaforme private, sarà necessario regolamentare il loro apporto di dati e soprattutto i loro obblighi nei confronti vuoi del titolare del trattamento, vuoi degli utenti – che dovranno essere adeguatamente informati circa il nuovo flusso di dati indirizzato alle autorità pubbliche per la specifica finalità di prevenzione epidemiologica -;
• imponga una valutazione – la più attenta possibile alla luce delle tempistiche emergenziali – sulla base di una visione integrata, dunque tecnico-informatica, giuridica, organizzativa, circa le misure di sicurezza appropriate per far fronte ai rischi derivanti dal trattamento, anche alla luce di una valutazione preventiva di impatto sulla protezione dei dati. Ciò anche per garantire che il trattamento dei dati e il pregiudizio arrecato al cittadino siano proporzionali all’obiettivo di prevenire e arginare il contagio;
• imponga come guida il criterio di gradualità e i principi di proporzionalità, correttezza, pertinenza e non eccedenza;
• delimiti in modo preciso, tassativo e stringente il periodo di emergenza che giustifica e coincide con il periodo di trattamento dei dati personali;
• preveda garanzie sul ripristino della situazione precedente all’emergenza – dunque quella di ordinaria tutela del diritto alla protezione dei dati ordinari – mediante strumenti quali la totale distruzione dei dati raccolti e trattati.
Ciò per garantire l’adozione di misure opportune, proporzionate, necessarie e ragionevoli alla luce delle esigenze di prevenzione e sconfitta del Covid-19, le quali, sì, permettono una compressione del diritto alla privacy, ma non ne giustificano una violazione.
Vero ciò, le autorità pubbliche dovrebbero farsi guidare dal criterio di gradualità e, in primis, cercare di trattare i dati relativi all’ubicazione in modo anonimo, dunque trattarli in forma aggregata, così da non consentire la successiva re-identificazione degli interessati. Un tale trattamento permetterebbe, attraverso l’analisi della concentrazione di dispositivi mobili, di realizzare una cartografia del contagio. Solo se ciò dovesse risultare inefficace si potrebbero attuare misure invasive come il tracciamento, ovverosia il trattamento di dati storici di localizzazione in forma non anonimizzata. Alla luce della circostanza emergenziale e delle accortezze necessarie nelle concrete modalità di trattamento, una tale misura è da ritenere coerente con il principio di proporzionalità. Ciononostante, l’attività di tracciamento deve essere soggetta ad un controllo rafforzato e a garanzie più stringenti per assicurare il rispetto dei principi in materia di protezione dei dati.
L’attività di contact tracing e di tracciamento, dunque, non comportano – rectius non devono comportare – una disapplicazione del GDPR, ma, al contrario, alla luce delle scelte normative in tema di bilanciamento di interessi e delle deroghe ammesse dalla normativa privacy, devono garantire un trattamento proporzionale alle finalità perseguite nel massimo rispetto tecnicamente e concretamente possibile del diritto alla protezione dei dati personali. Laddove le misure meno invasive – che comportano l’acquisizione di trend anonimi di mobilità – si rivelino insufficienti e si renda necessario un vero e proprio tracciamento, sarà «necessario prevedere adeguate garanzie, con una norma ad efficacia temporalmente limitata e conforme ai principi di proporzionalità, necessità, ragionevolezza. In tal senso, andrebbe effettuata un’analisi dell’effettiva idoneità della misura a conseguire risultati utili nell’azione di contrasto. […] In ogni caso, è indispensabile una valutazione puntuale del progetto. Non è il tempo dell’approssimazione e della superficialità».

A cura di Vittorio Colomba e Giorgia Benatti

La nuova privacy compie un anno, ma l’adeguamento è a ostacoli

Il nuovo regolamento europeo sulla privacy compie un anno. Attualmente, solo un’azienda su cinque si è adeguata al Gdpr, il 59% ha però progetti in corso e l’88 per cento delle imprese, il 30% in più rispetto a un anno fa, ha un budget dedicato.

Sono numeri in chiaro-scuro quelli resi noti di recente dall’Osservatorio del Politecnico di Milano, che raccontano come da un lato si sia diffusa la consapevolezza, da parte delle imprese italiane, rispetto all’importanza di investire nella privacy. Dall’altra, però, il processo di adeguamento alle nuove norme è ancora lungo, e alla finestra ci sono le verifiche (e soprattutto le sanzioni) annunciate dal Garante privacy. È quanto emerge, tra l’altro, dalla ricognizione effettuata da Le Fonti Legal a un anno dall’entrata in vigore del nuovo regolamento privacy, attraverso le testimonianze raccolte tra i professionisti maggiormente coinvolti dalla normativa: gli avvocati esperti di privacy che stanno assistendo le imprese nel processo di adeguamento, i penalisti e i general counsel.

Secondo Massimiliano Masnada di Hogan Lovells, «ad un anno dall’entrata in vigore del Gdpr molte imprese stanno adeguando non solo le informative e le nomine a incaricato o responsabile, ma soprattutto i loro sistemi informatici e le loro procedure interne. Tutto ciò ha un costo, necessita di investimenti e di programmazione. Questo è stato un anno di transizione anche perché, almeno in Italia, molte imprese, incluse quelle pubbliche che sono soggette alle stesse regole delle imprese private, non erano preparate considerando la compliance privacy come un costo e non come un’opportunità e una risorsa. Si aggiunga che è stata introdotta in Italia per la prima volta la figura del Dpo che, essendo una figura nuova nei modelli consolidati di corporate governance aziendale, ha suscitato qualche perplessità e incomprensione. La mia previsione è che nel corso del 2019 si consolideranno numerose esperienze ed arriveremo ad un buon livello di cultura aziendale della privacy, almeno per le imprese più grandi e con maggiore visibilità». «Credo che le maggiori difficoltà siano derivate proprio dall’introduzione della figura del Dpo come ulteriore soggetto deputato al controllo di compliance interna in un mondo, come quello finanziario, già caratterizzato da numerose figure di controllori e auditors», continua Masnada, «coordinare tutte le attività di controllo senza il rischio di imbrigliare il business non deve essere stato facile. A ciò si aggiunga la necessità di programmare una seria attività di risk assessement, soprattutto per quelle aziende che gestiscono una grandissima quantità di dati rilevantissimi, e la successiva creazione di presidi di tutela contro la perdita e l’accesso non autorizzato di tali dati. Basti pensare che una statistica afferma che nel 2020 si stima che il costo sopportato dalle imprese a seguito degli attacchi informatici e dei data breach nel mondo dovrebbe ammontare a circa tre mila miliardi di dollari».

Secondo Nadia Martini, di Rödl & Partner Italy, «le nuove regole richiedono un importante cambio culturale: si è passati dal percepire la privacy come un adempimento burocratico e formale di mera compliance, che imponeva regole e soluzioni uguali per tutti, al percepire la protezione del dato come data protection e quindi un adempimento sostanziale, che impone a ciascuno di studiare la propria situazione, capire i rischi concreti e individuare le proprie soluzioni. Questo importante cambio di passo, ha comportato la necessità in tutte le aziende di revisionare tutti i processi e implementare controlli che prima non vi erano».

A parere di Luigi Fontanesi e Paola Furiosi, di Santa Maria studio legale associato, «i dati relativi ai primi quattro mesi dall’entrata in vigore del Regolamento europeo denotano un notevole aumento delle segnalazioni e dei reclami in materia di inosservanza della normativa (entrambi quasi raddoppiati) così come di casi di data breach. Ciò è attribuibile anche ad un incremento della consapevolezza degli interessati al trattamento dei dati personali sui diritti ad essi spettanti. La prima fase ispettiva da parte del nucleo specializzato per la privacy della Guardia di Finanza, da poco iniziata, riguarda i settori bancario e finanziario. Anche alla luce del nuovo principio della c.d. accountability, le imprese avranno modo di provare in maniera documentata di aver adottato tutte le misure necessarie per adeguarsi alla nuova disciplina, evitando onerose sanzioni economiche. Ricordiamo che possono ammontare, nell’importo più elevato, ad una cifra fino a 20 milioni di euro o corrispondente al 4% del fatturato complessivo dell’impresa».

Simona Gallo, partner di Jenny.Avvocati, sottolinea come «le difficoltà risiedono non solo nelle misure di sicurezza, sulle quali l’attenzione era già alta in passato, quanto nella gestione di eventuali databreach e delle procedure di conservazione dei dati, i cui tempi vanno comunicati agli interessati al momento della raccolta del dato. Il nuovo approccio risk-based al sistema privacy è sicuramente più ostico per le piccole imprese, specie se commerciali e, quindi, poco avvezze alla valutazione dei rischi in ambito sicurezza. Paradossalmente, però, sono queste le aziende più esposte a rischi privacy, perché gestiscono database di clienti per la vendita tramite e-commerce».

A parere di Bridget Ellison di De Berti Jacchia, «dal lato delle imprese, credo che la maggior parte delle società, in particolar modo quelle che beneficiano di una struttura sufficientemente ampia e complessa, abbiano preso sul serio il tema “privacy”, facendo quanto necessario per conformarsi alla nuova normativa. La mia sensazione è che ormai sia pressoché terminata la fase di preparazione documentale, adeguamento dei processi aziendali e formazione delle società in ambito privacy, mentre stiamo per entrare in una fase in cui le società, fatti propri i principi della materia, dovranno utilizzare correttamente la documentazione e attenersi in concreto a quanto è stato pianificato per conformarsi al Gdpr. In pratica le società stanno passando dal processo di integrazione della privacy nei processi aziendali all’implementazione di tali processi e alla “privacy by default”». «Come intuibile», continua Ellison, «conformarsi alle nuove regole è stato per le società più difficoltoso ove abbia implicato l’abbandono di alcune vecchie prassi ormai ampiamente consolidate, oppure, laddove abbia comportato la dilatazione delle tempistiche solitamente proprie di un processo aziendale, come, ad esempio, la selezione di un fornitore, che deve essere accompagnata da un’attenta valutazione degli aspetti privacy. Altri aspetti critici sono costituiti dalla necessità per l’impresa di essere in grado di reperire nelle proprie banche dati tutti i dati personali di un determinato soggetto in tempi abbastanza rapidi in caso di esercizio dei diritti di accesso, di cancellazione o di portabilità e dalla determinazione dei tempi di conservazione dei dati e della loro cancellazione; in passato, di fatto, molte società conservavano i dati personali senza limiti di tempo».

Secondo Jacopo Destri di C-Lex, «è certamente aumentato il livello generale di consapevolezza e sensibilità in relazione alle tematiche legate alla privacy e alla protezione dei dati personali. Tuttavia, ritengo che ancora oggi molti operatori, soprattutto quelli medio-piccoli, siano in ritardo e non abbiano completato appieno il processo di adeguamento rispetto al nuovo assetto normativo. Il principio di accountability introdotto dal regolamento presuppone una forte sensibilità che inevitabilmente richiede un periodo di maturazione più ampio. Va evidenziato inoltre che l’adeguamento alla normativa viene ancora percepito da parte di molti come un adempimento di carattere statico e non come un fattore che deve necessariamente divenire parte integrante dei processi aziendali nel rispetto dei principi di privacy by design e by default. Ritengo pertanto che ci vorrà ancora del tempo per una piena integrazione della protezione dei dati personali nei processi, anche decisionali, di tutti gli operatori. Si tratta in ogni caso di un percorso fisiologico che, in virtù della portata generale della normativa, deve necessariamente passare attraverso l’attività di indirizzo rimessa all’opera insostituibile delle Autorità di controllo e del nuovo comitato europeo per la protezione dei dati». «Le maggiori difficoltà», continua Destri, «si riscontrano nell’implementazione concreta della normativa. Infatti, il regolamento e le norme di attuazione fissano principi di carattere generale che rimettono agli operatori economici valutare nel caso specifico modalità di attuazione che garantiscano un livello adeguato di protezione dei dati personali. Ad esempio, il regolamento, nell’ambito delle nomine di responsabili e sub-responsabili esterni prevede un approccio di natura gerarchico che non rende sempre agevole gestire filiere complesse di fornitura ovvero quelle in cui il rapporto con il titolare è sbilanciato in favore del responsabile esterno. Tali situazioni si complicano ancor di più in ambito digital, in relazione al quale si attende con fiducia il regolamento e-privacy, con l’auspicio che questo semplifichi e tenga conto di alcune specificità del settore. Inoltre, sotto diverso profilo, considerato il margine di discrezionalità accordato dal regolamento ed i numerosi margini di incertezza interpretativa che ancora oggi permangono, non è infrequente imbattersi in scelte la cui tenuta di fronte ad eventuali accertamenti è assai dubbia».

Francesco Falco di DWF afferma che «tra le principali difficoltà nell’implementazione del Gdpr da parte dei soggetti che operano nel mondo finanziario, vi è quella del coordinamento tra il Gdpr e le molteplici normative di settore che già regolano il mondo della finanza. A prescindere, infatti, dall’interrelazione tra normative distinte, il rischio, sotto un profilo di governance/compliance, è quello di appesantire eccessivamente le strutture ovvero di non riuscire ad armonizzare le procedure interne rispetto ai diversi settori di intervento, che pure potrebbero condividere ambiti applicativi. A ciò occorre aggiungere che la tutela dei dati, genericamente intesa, è sempre più attenzionata dal legislatore e che, pertanto, le normative che potrebbero andarsi ad accavallare potrebbero crescere rapidamente di numero». «Per le realtà di maggiori dimensioni», continua Falco, «l’implementazione del Gdpr appare come una sfida da vincere nel contesto della competizione tra imprese, per rafforzare la fiducia dei propri stakeholders. Nelle imprese più piccole, invece, l’implementazione del Gdpr non collima con l’idea di fornire ulteriore valore aggiunto, ma sembra più atteggiarsi ad un ulteriore burocratizzazione dell’attività. In altri termini, il Gdpr è vissuto, per le grandi imprese, come un’opportunità di crescita e sviluppo, mentre per le piccole imprese, come fonte di costi e impacci. Per tale ragione, mentre le grandi imprese hanno dedicato risorse e capacità nell’attuazione del regolamento, le piccole realtà faticano ad interessarsi all’attuazione del regolamento».

A parere di Giulio Graziani di Elexia «le imprese e i soggetti operanti nel mondo finanziario avevano ante Gdpr un sistema di compliance che necessariamente imponeva una certa attenzione alla privacy. Credo quindi che sicuramente sia stato affrontato un lavoro di adeguamento che però potrebbe essere stato agevolato dal sistema privacy già implementato”. Rispetto all’attività di verifica e sanzione da parte del Garante, secondo Graziani «non vi sarà un aumento delle verifiche, è più probabile che si possa assistere a un incremento del valore delle potenziali sanzioni comminate, con un conseguente livello di attenzione maggiore da parte delle imprese che, auspichiamo, possano attivarsi per ribaltare la percentuale di coloro che non sono ancora a norma».

Gianluigi Marino di Osborne Clarke ritiene che «le maggiori criticità sono quelle relative alla sovrapposizione tra le norme del Gdpr e della normativa e-privacy nonché al pieno sfruttamento delle opportunità date dalla PSD2. Inoltre, non è sempre facile individuare correttamente la base giuridica adatta a singoli trattamenti di dati personali. Anche il pieno e tempestivo riscontro alle richieste di esercizio dei diritti degli utenti trova talvolta difficoltà tecniche e organizzative». «Il Garante», continua Marino, «utilizzerà tutti gli strumenti a sua disposizione: dagli ammonimenti alle sanzioni pecuniarie. L’autorità si sta concentrando sui “grandi data controller” come gli istituti bancari, le telco e, in generale, chi tratta grandi database per finalità di marketing. Prevedo che si inizieranno ad avere i primi punti di riferimento quanto alla concreta applicazione dei criteri previsti dal Gdpr per l’irrogazione delle tanto temute sanzioni pecuniarie e, sopratttutto, al giudizio dell’autorità quanto alle valutazioni interne svolte in relazione all’utilizzo della base giuridica del legittimo interesse. Fino all’avvento del Gdpr, infatti, il legittimo interesse era una base giuridica valida solo nella misura in cui fosse approvata dal Garante tramite provvedimenti generali o specifici. Ora invece è rimessa alla responsabilità del singolo titolare del trattamento che deve autovalutare la legittimità del ricorso a tale base giuridica».

Lucia Bressan dello studio legale Bressan osserva che «le piccole imprese hanno tuttora difficoltà a cambiare prospettiva e passare da un approccio esecutivo incentrato sull’adempimento formale ad un approccio responsabile che mette al centro il dato personale, e dunque la persona anziché il prodotto. Ancora sono molte le imprese che hanno adottato soluzioni di sola facciata, senza affrontare correttamente il processo di adeguamento. Inoltre solo con grande fatica, e in numero ancora limitato, le imprese hanno compreso quanto fosse importante cogliere l’occasione per rivedere procedure e processi aziendali, strutture organizzative in essere e dunque in tal modo lavorare anche sulla organizzazione efficiente ed ottimale. In questo senso la privacy compliance costituisce un valore aggiunto, grazie alla multidisciplinarietà che la materia impone, modificando la cultura d’impresa. Dal punto di vista pratico, nelle grandi imprese hanno trovato impatto in particolare le novità introdotte dal Gdpr ovvero le valutazioni d’impatto e la messa in atto dei nuovi approcci, oltre alla figura del Dpo e la corretta qualificazione e collocazione di quest’ultimo all’interno dell’azienda. Tutte le imprese si sono particolarmente spese sulla gestione dei fornitori (outsoucer) di servizi». «Sta terminando il periodo “soft”, di tranquillità”, conclude Bressan, «ma da giugno assisteremo alla implementazione di severi provvedimenti pronunciati soprattutto contro quelle imprese e quegli enti che non si sono adeguate ovvero hanno continuato ad affrontare con leggerezza il tema della protezione sostanziale dei dati, ovvero, ancora, hanno adottato soluzioni di sola facciata».

Mascia Cassella, di MBC Lex, afferma che «molte imprese si stanno adeguando alla nuova normativa, sia quelle che già erano compliant con il codice privacy del 2003, sia quelle che hanno risentito dell’eco mediatico del nuovo regolamento. Stiamo assistendo un grande numero di aziende dedicandoci non solo alla predisposizione della documentazione necessaria, ma anche alla formazione che teniamo in loco alla presenza di tutto il personale e che ci sta dando un ottimo riscontro in termini di interesse e di occasione per riunire il personale».

Rosanna Sovani di LSCube studio legale ritiene che «una prima criticità è senz’altro quella legata ai tempi di conservazione dei dati personali. Se da un lato, infatti, è corretto che dati personali non più necessari siano cancellati o anonimizzati, dall’altro le imprese che operano in settori fortemente regolamentati e sotto stretta vigilanza delle autorità competenti, come quelle del settore finanziario e assicurativo, hanno una certa ritrosia a cancellare dati personali per il timore che potrebbero essere loro richiesti in un momento successivo proprio da quelle autorità alla cui vigilanza esse sono soggette. Il problema nasce dal fatto che, in Italia, si ha una carenza di normative specifiche di settore che indichino in modo certo e chiaro quali siano i tempi di conservazione oltre i quali non sarà più possibile richiedere alle imprese di fornire informazioni e dati riferiti a persone fisiche identificate o identificabili. Sotto tale aspetto, pertanto, sarebbero necessari interventi normativi che permettano alle aziende di cancellare i dati personali non più necessari senza il timore di rimanere scoperte in caso di future richieste da parte delle autorità competenti. Una seconda criticità è quella dell’assolvimento dell’obbligo informativo nei confronti degli interessati. In ambito finanziario esiste spesso la necessità di condividere una grande mole di informazioni per prevenire, ad esempio, frodi e fenomeni come il riciclaggio di denaro. In questo contesto, spesso non è chiaro chi debba assolvere gli obblighi di informativa nei confronti degli interessati; anche in questo caso un intervento legislativo o un provvedimento chiarificatore dell’Autorità garante per la protezione dei dati personali avrebbero un impatto positivo».

Per Rosamaria Bevante dello studio ArlatiGhislandi, «la maggiore difficoltà nel processo di adeguamento al regolamento europeo è certamente quella di prevedere misure disposte a consolidamento della protezione dei dati senza che queste intacchino la redditività del business; ma ancor di più il fatto di dover accettare che i vari processi aziendali (già collaudati e funzionanti) debbano essere ora sottoposti a un censimento ex novo che comporti valutazioni di integrità e, a volte, di veri e propri interventi strutturali».

I penalisti
Armando Simbari di DFS rileva come «un aspetto critico è rappresentato dalla necessità di un costante aggiornamento del sistema di gestione del trattamento dei dati; è diffusa la convinzione che l’adeguamento al Gdpr sia un adempimento da assolvere una tantum. Invece, è necessario che le imprese, soprattutto nel caso di realtà aziendali complesse, predispongano strutture e personale in grado di verificare regolarmente l’adeguatezza del sistema e di adeguarlo costantemente ai cambiamenti che abbiano un impatto sulla privacy. Un’altra problematica attiene alle risorse economiche destinate all’adeguamento al decreto: se è vero, come si è detto, che la maggior parte delle imprese ha stanziato un budget dedicato, è anche vero che, soprattutto nell’ambito delle piccole realtà, esso risulta spesso insufficiente a garantire una corretta gestione del trattamento. Lo stanziamento di risorse inadeguate rappresenta un rischio elevato per le imprese se si considera che il decreto prevede sanzioni molto severe, non solo amministrative ma anche penali. A questo proposito, è importante sottolineare che il d.lgs. n. 101 del 2018, che ha recentemente modificato la sezione del Codice della privacy dedicata alle sanzioni, ha implementato il numero e la tipologia dei reati connessi al trattamento dei dati. Per esempio, con il nuovo art. 167-bis è stata introdotta la fattispecie di comunicazione e diffusione di dati personali trattati “su larga scala” in violazione di certi requisiti normativi, tra cui il consenso dell’interessato laddove richiesto. La fattispecie in questione ha mutuato il concetto di “archivio” automatizzato dal nuovo Gdpr, che con tale espressione intende “qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico”. Altra fattispecie di nuovo conio è quella introdotta dall’art. 167-ter del Codice della Privacy, che punisce in modo ugualmente grave, fino a quattro anni di reclusione, l’acquisizione fraudolenta dei dati personali oggetto di trattamento su larga scala. Si deve segnalare che, per evitare che la reazione sanzionatoria risulti eccessiva rispetto all’offesa, il legislatore ha ritenuto di prevedere, relativamente ai predetti reati, una diminuzione della pena nel caso in cui venga applicata, per gli stessi fatti, anche una sanzione amministrativa. Infine, oltre a confermare la fattispecie di false dichiarazioni al Garante, il nuovo Codice ha introdotto altresì quella di interruzione di un procedimento davanti alla medesima autorità e quella di inosservanza dei provvedimenti da essa adottati».

A parere di Fabio Cagnola di Cagnola & associati «tra le maggiori criticità che le imprese di tutte le dimensioni hanno riscontrato vi sono innanzitutto quelle legate alla raccolta e alla mappatura dei dati personali. In particolare, si sono riscontrate difficoltà legate all’adeguamento ai requisiti tecnico-informatici, necessari ad esempio per cifrare e anonimizzare i dati. Infine, si segnalano problematiche legate banalmente agli scarsi investimenti, alla carenza di sensibilizzazione dei dipendenti o alla incomprensione della normativa. Il mancato rispetto della normativa ha ovviamente conseguenze negative che vanno dalla imposizione di misure correttive alla irrogazione di sanzioni amministrative pecuniarie. Alcune gravi violazioni danno luogo anche a responsabilità penale. Si pensi ad esempio all’art. 167 del Codice della Privacy, il quale punisce violazioni legate al trattamento dei dati personali, qualora poste in essere con la finalità di profitto o di arrecare un danno all’interessato, oppure all’art. 168, il quale punisce chiunque produca documenti falsi oppure dichiari il falso innanzi al Garante nel corso di accertamenti o in un procedimento».

I general counsel
Umberto Simonelli, chief legal & corporate affairs officer di Brembo, che ha avviato l’attività di assessment e adeguamento al Gdpr circa un anno e mezzo prima dell’entrata in vigore del regolamento, afferma che «una prima difficoltà che abbiamo riscontrato nella fase iniziale di assessment aziendale delle attività è stato far comprendere ai nostri interlocutori il concetto di dato personale ed il concetto di trattamento, al fine di recuperare le necessarie informazioni per mappare adeguatamente tutti i trattamenti aziendali e quindi completare il Registro delle attività di trattamento. Altre complessità le abbiamo riscontrate nell’individuazione dei fornitori che devono essere nominati Responsabili ai sensi dell’articolo 28 del Gdpr. Infatti non sempre è facile classificare un fornitore come titolare autonomo o responsabile in quanto per alcuni servizi ricevuti non è così chiaro chi stabilisce la finalità, i mezzi e la modalità del trattamento. Inoltre mentre in alcuni casi la negoziazione dell’accordo di nomina a Responsabile è stata snella e veloce, in altri casi, con alcuni responsabili, ha richiesto tempi più lunghi. Un’altra attività complessa è connessa al concetto di accountability, ossia la rendicontazione della compliance alla normativa del Gdpr. Pertanto è essenziale tenere traccia e rendere conto di tutte le scelte aziendali fatte e non fatte e del ragionamento alla base di tali scelte».

Stefano Brogelli, legal and compliance director di Axpo, che ha adottato un modello organizzativo per il trattamento dei dati rivedendo le precedenti policy e procedure in materia di trattamento dei dati, sottolinea che «la predisposizione del modello e l’attuazione delle regole ivi previste nell’attività di tutti i giorni ha comportato e continua a comportare un non trascurabile sforzo da parte delle diverse funzioni aziendali, in particolare di quelle più direttamente interessate, come la funzione Ict e l’area commerciale. Per ottenere il necessario coinvolgimento dei colleghi è stato inizialmente necessario diffondere consapevolezza circa l’importanza di adeguarsi alla nuova normativa. Ciò ha reso possibile ottenere la fattiva collaborazione di tutti, anche di chi inizialmente non aveva idea di cosa l’acronimo Gdpr significasse». «La società», continua Brogelli, «ha valutato di affidare l’incarico di Dpo ad un soggetto esterno per motivi organizzativi. La funzione legal & compliance è comunque il principale punto di riferimento all’interno dell’azienda per ogni questione attinente al trattamento dei dati e collabora costantemente con il Dpo per assicurare il rispetto del modello organizzativo».

Toffoletto De Luca Tamajo: promossi Ornella Patanè e Marco Sideri

Toffoletto De Luca Tamajo, studio legale specializzato in diritto del lavoro e sindacale per le aziende, ha nominato due nuovi partner

Ornella Patanè e Marco Sideri sono stati promossi soci dopo un percorso di crescita interno che li ha visti protagonisti nel rapporto con i clienti, nelle attività dello Studio e dell’alleanza internazionale Ius Laboris.

«Leadership, capacità organizzativa, commerciale e di gestione dei clienti, sono queste le caratteristiche che chiediamo ai nostri soci. Essere, come dicono gli inglesi, a strong firm citizen – commenta l’avvocato Franco Toffoletto, managing partner di Toffoletto De Luca Tamajo. – Siamo molto orgogliosi di queste nomine e del percorso di Ornella e Marco. Hanno saputo affrontare le sfide di un settore, quello del diritto del lavoro, in continua evoluzione e siamo certi che contribuiranno significativamente al futuro dello Studio».

L’avvocato Ornella Patanè è entrata in Toffoletto De Luca Tamajo nel 2000 come stagiaire dopo un master in diritto internazionale all’Università di Trento; durante il suo percorso professionale ha lavorato in alcuni studi internazionali membri di Ius Laboris, quali Claeys&Engels a Bruxelles e Lewis Silkin a Londra. Ha sempre lavorato a fianco dell’avvocato Franco Toffoletto ed ha maturato profonda esperienza nell’interpretare le esigenze dei clienti, divenendo per molti un punto di riferimento importante nella gestione quotidiana e strategica delle risorse umane. Si occupa, inoltre, a fianco di importanti società clienti, di operazioni straordinarie, ivi comprese piani di partecipazione dei dipendenti alla creazione di valore della società, nonché della negoziazione di contratti complessi per l’assunzione di alti dirigenti o di pacchetti di uscita per questi ultimi. Fa parte del team dedicato al prodotto contratti digitali e ne ha curato la realizzazione per un importante cliente dello studio.

L’avvocato Marco Sideri è genovese ed è entrato in Toffoletto De Luca Tamajo nel 2007. Ha maturato esperienza nazionale ed internazionale nell’ambito del diritto del lavoro, collaborando anche per un periodo con lo studio Lewis Silkin di Londra, membro dell’alleanza Ius Laboris. Fin dal suo ingresso in studio ha affiancato la partner Paola Pucci e fa parte dei team specializzati per i prodotti dello Studio “GDPR e Privacy” e “Procedure articolo 4 e utilizzo degli strumenti informatici”. L’avvocato Sideri è un punto di riferimento per i clienti sia nell’attività giudiziale che stragiudiziale. Parallelamente porta avanti l’impegno nella formazione in numerose conferenze e master oltre ad essere iscritto all’albo dei giornalisti pubblicisti dal 2005.

Lo Studio prosegue nel suo percorso di crescita e ha chiuso il 2018 con un fatturato leggermente superiore ai 20 milioni di euro (+3% rispetto al 2017), grazie anche all’efficientamento portato dal nuovo sistema gestionale interno e dal processo di riorganizzazione che ne è derivato. Con queste due promozioni, che seguono l’apertura della quinta sede a Brescia a inizio anno e la nomina a partner dell’avvocato Flaminio Valseriati, lo studio conta oggi 19 soci e 95 tra professionisti e dipendenti.

Iscriviti alla newsletter