Condividi su
Trattamento dati: per le aziende l’applicazione del Gdpr è un valore aggiunto
Emiliano Costa
In che modo le aziende devono trattare i dati di dipendenti e clienti? Ne abbiamo parlato con Chiara Ciccia Romito, avvocato e ricercatrice universitaria, autrice del libro “Gdpr nella micro, piccola e media impresa”
In che modo le aziende devono trattare i dati di dipendenti e clienti? Come vanno protetti dagli attacchi informatici? Chiara Ciccia Romito, avvocato e ricercatrice universitaria (Fellow Research ISLC, Università degli Studi di Milano, dottoranda di ricerca lavoro, sviluppo e innovazione, Università degli Studi di Modena e Reggio Emilia, Fondazione Marco Biagi), ha da poco pubblicato, per la casa editrice Giuffrè Francis Lefebvre, il libro “Gdpr nella micro, piccola e media impresa” in cui traccia un percorso di semplificazione della compliance tra protezione dei dati e adempimenti di legge.
Avvocato Romito, com’è nata l’idea di realizzare un libro sul tema della privacy rivolto alle aziende?
“L’idea è nata a seguito dell’incontro con il professore Giovanni Ziccardi, che tra l’altro ha scritto la premessa del mio libro. Da tre anni ormai accompagno le Pmi associate a Confartigianato Bologna Metropolitana nell’adeguamento al Gdpr. Quest’esperienza, unita alla passione per la ricerca universitaria e per la mia professione, mi ha consentito di scrivere un testo rivolto alla categoria. Il libro riporta tantissimi esempi pratici che fanno ricorso a circostanze che ho realmente incontrato nell’ambito della consulenza e si pone come scopo quello di aiutare le Pmi nel territorio italiano nell’applicazione del Regolamento”.
Quali sono gli aspetti principali della privacy su cui si concentra il libro?
“Il libro si divide in sette capitoli e riguarda gli adempimenti del Regolamento europeo in tutti i settori rilevanti per l’impresa come, per esempio, la creazione della documentazione o di un piano formativo o di uno schema di difesa dagli attacchi informatici, l’ultimo, invece si dedica ai rapporti di lavoro questione che riguarda tutte le imprese. Proprio da questo ultimo capitolo ho preso lo spunto per presentare il mio progetto di ricerca alla Fondazione Marco Biagi su intelligenza artificiale e mercato delle imprese e del lavoro”.
In che modo le aziende devono declinare le normative del Gdpr al proprio interno?
“Non c’è una risposta univoca a questa domanda. Al di là degli adempimenti imposti, il Gdpr, a differenza del Codice privacy, non impone alle aziende l’adozione di misure minime. Anche per questo il libro offre un aiuto prezioso. Il Regolamento conia un nuovo termine accountability un modus operandi che punta alla sostanza non alla forma. Diventa, in prima battuta, fondamentale mappare i trattamenti e stilare un piano d’azione. Successivamente, l’adeguamento risulta più semplice e quasi naturale. L’impresa costruisce le operazioni sulla scorta di quanto dettato dal Gdpr”.
A cosa devono prestare attenzione le aziende quando trattano i dati dei propri clienti?
“A tutelare l’integrità e la riservatezza delle informazioni. Anche solo un numero di telefono un’e-mail devono essere trattati con accortezza, oggi i dati personali acquisiscono un valore sul mercato, le aziende maneggiano quotidianamente una grande quantità di dati. Occorre imparare a gestire i dati, non solo nell’ottica di evitare le sanzioni, ma anche in quella di facilitare l’utilizzo degli stessi. Se è vero che i dati rappresentano una nuova ricchezza è altrettanto vero che semplificare i processi del trattamento e al contempo renderli compliance alla normativa facilità la creazione di un valore aggiuntivo”.
Quali sono i rischi per un’azienda in tema di violazione della privacy?
“I rischi sono tanti non solo da un punto di vista sanzionatorio. Non mi piace mai partire dal fatto che il nuovo Regolamento ha portato a un innalzamento delle sanzioni che nei casi più gravi arrivano fino a 20 milioni e in ogni caso partano dal 4% del fatturato aziendale. Nelle mie consulenze tendo a far capire che al di là della sanzione violare la riservatezza del cliente o del dipendente lede il diritto dell’interessato, ma anche l’immagine dell’azienda a cui una persona fisica potrà fare scarso affidamento a seguito della violazione; non solo, ma la scarsa attenzione alla stessa può comportare un pregiudizio in termini di sicurezza informatica ledendo la continuità operativa dell’azienda. Si pensi a un attacco hacker e al danno effettivo che può creare non solo in termini sanzionatori, ma nell’immagine e addirittura nella operatività effettiva. Ci sono casi di aziende bloccate per settimane intere”.
Con riferimento al settore automotive, vista la presenza di software dotati di Ai sui veicoli, in che modo si concilia la tutela della privacy con lo sviluppo delle “connected car”?
“L’intelligenza artificiale è uno dei miei argomenti preferiti. Affascina la macchina intelligente, affascina anche perché la utilizziamo tutti i giorni senza saperlo e perché tra qualche anno sarà tutto caratterizzato dall’uso di algoritmi intelligenti. Il settore dell’automotive è uno dei principali protagonisti di questa affascinante rivoluzione. L’intelligenza artificiale avrà un impatto verosimilmente potente sulle modalità di progettazione, sulla creazione di una safety effettiva e sulla distribuzione delle responsabilità. La protezione dei dati diventa un primo elemento da cui partir per incentivare l’uso di strumenti intelligenti in un’ottica di bilanciamento degli interessi in gioco. Le macchine intelligenti per natura si nutrano di dati e gli algoritmi utilizzano tecniche di machine learning per arrivare a un out-put. Il fulcro dal quale partire, allora, è proprio la progettazione che deve consentire la creazione di uno schema chiaro, trasparente e sicuro sin dal principio. In questo modo l’affidamento dell’utente può essere soddisfatto. Ma la strada è ancora tutta da disegnare e resta ancora da comprendere se le norme del Gdpr siano sufficienti a tutelare i dati trattati dai sistemi intelligenti”.
Avvocato Romito, com’è nata l’idea di realizzare un libro sul tema della privacy rivolto alle aziende?
“L’idea è nata a seguito dell’incontro con il professore Giovanni Ziccardi, che tra l’altro ha scritto la premessa del mio libro. Da tre anni ormai accompagno le Pmi associate a Confartigianato Bologna Metropolitana nell’adeguamento al Gdpr. Quest’esperienza, unita alla passione per la ricerca universitaria e per la mia professione, mi ha consentito di scrivere un testo rivolto alla categoria. Il libro riporta tantissimi esempi pratici che fanno ricorso a circostanze che ho realmente incontrato nell’ambito della consulenza e si pone come scopo quello di aiutare le Pmi nel territorio italiano nell’applicazione del Regolamento”.
Quali sono gli aspetti principali della privacy su cui si concentra il libro?
“Il libro si divide in sette capitoli e riguarda gli adempimenti del Regolamento europeo in tutti i settori rilevanti per l’impresa come, per esempio, la creazione della documentazione o di un piano formativo o di uno schema di difesa dagli attacchi informatici, l’ultimo, invece si dedica ai rapporti di lavoro questione che riguarda tutte le imprese. Proprio da questo ultimo capitolo ho preso lo spunto per presentare il mio progetto di ricerca alla Fondazione Marco Biagi su intelligenza artificiale e mercato delle imprese e del lavoro”.
In che modo le aziende devono declinare le normative del Gdpr al proprio interno?“Non c’è una risposta univoca a questa domanda. Al di là degli adempimenti imposti, il Gdpr, a differenza del Codice privacy, non impone alle aziende l’adozione di misure minime. Anche per questo il libro offre un aiuto prezioso. Il Regolamento conia un nuovo termine accountability un modus operandi che punta alla sostanza non alla forma. Diventa, in prima battuta, fondamentale mappare i trattamenti e stilare un piano d’azione. Successivamente, l’adeguamento risulta più semplice e quasi naturale. L’impresa costruisce le operazioni sulla scorta di quanto dettato dal Gdpr”.
A cosa devono prestare attenzione le aziende quando trattano i dati dei propri clienti?
“A tutelare l’integrità e la riservatezza delle informazioni. Anche solo un numero di telefono un’e-mail devono essere trattati con accortezza, oggi i dati personali acquisiscono un valore sul mercato, le aziende maneggiano quotidianamente una grande quantità di dati. Occorre imparare a gestire i dati, non solo nell’ottica di evitare le sanzioni, ma anche in quella di facilitare l’utilizzo degli stessi. Se è vero che i dati rappresentano una nuova ricchezza è altrettanto vero che semplificare i processi del trattamento e al contempo renderli compliance alla normativa facilità la creazione di un valore aggiuntivo”.
Quali sono i rischi per un’azienda in tema di violazione della privacy?
“I rischi sono tanti non solo da un punto di vista sanzionatorio. Non mi piace mai partire dal fatto che il nuovo Regolamento ha portato a un innalzamento delle sanzioni che nei casi più gravi arrivano fino a 20 milioni e in ogni caso partano dal 4% del fatturato aziendale. Nelle mie consulenze tendo a far capire che al di là della sanzione violare la riservatezza del cliente o del dipendente lede il diritto dell’interessato, ma anche l’immagine dell’azienda a cui una persona fisica potrà fare scarso affidamento a seguito della violazione; non solo, ma la scarsa attenzione alla stessa può comportare un pregiudizio in termini di sicurezza informatica ledendo la continuità operativa dell’azienda. Si pensi a un attacco hacker e al danno effettivo che può creare non solo in termini sanzionatori, ma nell’immagine e addirittura nella operatività effettiva. Ci sono casi di aziende bloccate per settimane intere”.
Con riferimento al settore automotive, vista la presenza di software dotati di Ai sui veicoli, in che modo si concilia la tutela della privacy con lo sviluppo delle “connected car”?
“L’intelligenza artificiale è uno dei miei argomenti preferiti. Affascina la macchina intelligente, affascina anche perché la utilizziamo tutti i giorni senza saperlo e perché tra qualche anno sarà tutto caratterizzato dall’uso di algoritmi intelligenti. Il settore dell’automotive è uno dei principali protagonisti di questa affascinante rivoluzione. L’intelligenza artificiale avrà un impatto verosimilmente potente sulle modalità di progettazione, sulla creazione di una safety effettiva e sulla distribuzione delle responsabilità. La protezione dei dati diventa un primo elemento da cui partir per incentivare l’uso di strumenti intelligenti in un’ottica di bilanciamento degli interessi in gioco. Le macchine intelligenti per natura si nutrano di dati e gli algoritmi utilizzano tecniche di machine learning per arrivare a un out-put. Il fulcro dal quale partire, allora, è proprio la progettazione che deve consentire la creazione di uno schema chiaro, trasparente e sicuro sin dal principio. In questo modo l’affidamento dell’utente può essere soddisfatto. Ma la strada è ancora tutta da disegnare e resta ancora da comprendere se le norme del Gdpr siano sufficienti a tutelare i dati trattati dai sistemi intelligenti”.
