Nella puntata di Doppio Binario su Le Fonti TV si è parlato di privacy e degli adempimenti necessari alla gestione dei dati sensibili delle aziende con siti di e-commerce e delle loro criticità. Ospiti della puntata sono stati Claudio Terlizzi, Data Protection Officer dello studio legale Lombardo e Giancarlo Cesare Giorgio General Counsel di Danone.
Quali sono gli elementi di legittimità del trattamento dei dati nei siti, con particolare riferimento ai siti e commerce anche alla luce della nuova normativa europea e nazionale?
Claudio Terlizzi. Nell’ambito dei trattamenti della gestione dei dati di siti di e-commerce di aziende che si rivolgono al web per commercializzare i propri prodotti piuttosto che erogare i servizi, è evidente che in una situazione di questo tipo, le aziende hanno necessità di gestire i dati personali dei clienti per erogare i propri servizi piuttosto che rivendere i prodotti. Questo tipo di attività porta a diversi trattamenti, anche se poi alla fine i dati gestiti sono i medesimi. Questi trattamenti sono diversi e attengono ad esempio alla gestione di tutto il ciclo di vita dell’ordine, piuttosto che ad attività di marketing e di comunicazione commerciale, oppure attività di profilazione cioè tutte quelle attività di elaborazione che sono utili per poter proporre ai propri clienti delle offerte che sono in linea con le preferenze dei clienti stessi, piuttosto che iscrizioni alla newsletter o altre forme di comunicazione che aiutano poi a raggiungere il cliente con le proprie offerte commerciali.
Questi trattamenti sono diversi e necessitano un’analisi specifica
in ordine alla determinazione della corretta base giuridica applicabile, proprio per garantire la liceità al trattamento stesso, così come previsto dall’articolo 6 del GDPR. Questo è un elemento di novità rispetto alla normativa previgente, in cui invece era il garante nazionale che autorizzava con provvedimenti ad hoc, specifici trattamenti di dati personali e poi ne stabiliva anche i limiti.
Attraverso l’introduzione della nuova normativa, lo sforzo che veniva richiesto dagli operatori economici è stato quello di andare analizzare tutti i trattamenti posti in essere nella propria attività e determinare per ognuno di essi la corretta base giuridica tra quelle previste dall’articolo 6. Inoltre dovrà anche verificare l’applicazione come con attenzione all’applicazione di tutti i principi stabiliti dall’articolo 51, ordinare la ricetta del trattamento stesso. Per esempio alcuni principi di trasparenza che viene poi indirizzato attraverso la predisposizione di informative complete e corrette così come previsto dall’articolo 13 della GDPR oppure l’applicazione nell’acquisizione di corretti consensi laddove venisse utilizzata questa base giuridica, per dare riuscita al trattamento consensi che poi devono mantenere tutti i requisiti previsti dalla normativa stessa. In quest’ambito risulta necessario andare a stabilire un consenso separato per ogni trattamento.
Ad esempio molto spesso all’interno dei siti internet, troviamo la richiesta consenso unico che può avvenire per attività di marketing oppure per iscrizioni di newsletter oppure per attività di profilazione.
Questo è un’acquisizione del consenso, considerato non legittimo dal regolamento, sanzionata poi attraverso diversi provvedimenti nella nostre autorità garante degli ultimi anni.
Quindi va richiesto per ognuno di questi trattamenti un consenso separato e specifico in modo da garantire all’interessato, la possibilità di scegliere se ricevere o iscriversi alla newsletter piuttosto che essere profilato, piuttosto che partecipare attività di marketing e ricevere comunicazioni commerciali.
Molto importante poi risulta quello che è una possibilità che viene data all’operatore economico cioè il cosiddetto soft spam cioè la possibilità di inviare comunque comunicazioni commerciali ai propri clienti anche in mancanza di un consenso esplicito. Questa possibilità che risulta ovviamente determinante nella nell’ambito di una di procedura di up selling nei confronti dei clienti, è possibile e legittimamente applicabile soltanto se il cliente è stato debitamente informato attraverso una corretta informativa nel momento in cui ha depositato i propri dati all’operatore economico.
Cosa ha comportato per Danone l’adeguamento al GDPR, entrato ormai vigore più o meno da un anno e mezzo circa?
Giancarlo Cesare Giorgio. Danone è un gruppo multinazionale, azienda enorme che opera in tutti i Paesi europei e anche in altri Paesi al di fuori dell’Europa. Il regolamento e l’adeguamento è iniziato con un coordinamento a livello di gruppo partendo da un team centrale a Parigi perché i mercati sono diversi.
Il regolamento ha quindi costretto l’organizzazione a lavorare in modo organico con un approccio comune in quanto comunque in una realtà come la nostra, non è possibile che ciascun paese possa procedere in maniera autonoma nell’implementazione del GDPR, posto che moltissimi processi attività, sistemi tecnologici, sono interconnessi e sono cross paese. Quindi un’armonizzazione di base si è resa necessaria e doverosa perché altrimenti avremmo corso il rischio di lasciarci indietro qualche cosa.
Anche nell’ottica di questo, è uno dei principi cardine parlamento europeo e il privacy by design quindi l’adeguamento non finisce mai perché comunque i processi, anche quelli tecnologici e l’organizzazione sono sempre in continua evoluzione e quindi la mappatura e l’adeguamento deve essere continuamente fatto. È sempre un lavoro non di rincorsa ma comunque di un continuo puntellare o implementare nuove mappature rispetto a noi. Processi in nuove attività che si vengono a creare. Il gol finale del gruppo che si è dato, è di avere una mappatura, quindi la
consapevolezza di tutti i tipi di trattamenti. Costruire dei privacy
toolbox, mettere in piedi dei remediation plan volte a razionalizzare i processi inutili e focalizzarsi invece su quelli dove c’è effettivamente il trattamento e quindi poi avere una governance privacy. Si è lavorato su diversi stream al fine di mappare questi trattamenti ed effettuare quindi delle attività. Aveva quindi costruito un backbone costruito da una governance prima di tutto, ad esempio possiamo citare il fatto di aver nominato delle organizzazioni cosi detti privacy stuart che hanno la funzione per ogni funzione aziendale di intercettare sin dall’inizio delle attività che possono implicare il trattamento, quindi come dire la privacy non è solo per la funzione compliance ma è cross organizzazione quindi i
soggetti che non hanno neanche la competenza legale o il privacy sono stati demandati a lavorare insieme a noi per intercettare sin dall’inizio di tipo trattamento. Abbiamo costruito il registro dei trattamenti sia a livello centrale che a livello legale dove vengono ocon popolati con i vari progetti, abbiamo costruito e costruiamo per ogni progetto un data privacy che mappa di volta in volta ogni attività, ogni progetto per valutare nell’ambito della prova privacy by design se questo ha un impatto di come e poi abbiamo costruito un sistema di gestione dell’ informazione al consumatore e infine un training a tutta l’organizzazione perché come ho detto la nomina dei previsti stuart è importante ma è tutta l’organizzazione che deve essere consapevole dell’importanza della privacy perché la funzione di legal and compliance lavoro su dei processi e aiuta a lavorare. I primi segnali organizzativi sono le altre funzioni che devono dire stiamo facendo questo progetto, stiamo implementando questa attività di e-commerce.
Vengono da noi e ci coinvolgono anche prima di tutto non solo sul lato contrattuale legale ma anche sulla parte privacy che questo trattamento andrà, questo consumatore dovremo fare questa attività e quindi bisogna costruire uno schema verificare se quello già in attuale come disclaimer e centro sono sufficienti per il trattamento che si vuol fare. È un lavoro coordinato con più funzioni ed è questa importante e fondamentale ricevere il supporto delle altre funzioni perché non tutti non in tutto, noi arriviamo e quindi la funzione appunto imprevisti tour sta diventando fondamentale per noi, per intercettare i flussi in anticipo.
Quanto è importante stipulare dei buoni accordi di agreement con terzi esterni? Parlo magari facendo riferimento a società di hosting per siti web piuttosto che ad esempio consulenza, consulenti per servizi..
Claudio Terlizzi. L’introduzione del GDPR ha dato particolare enfasi alla regolamentazione dei rapporti tra il titolare del trattamento e i soggetti esterni cioè quelli che verranno chiamati a trattare perciò conto di dati personali dei propri interessati e quelli che vengono chiamati anche nella nostra esperienza e responsabile del trattamento o data processor per utilizzare una notazione del GDPR. In particolare stabilire una serie di obblighi in campo, sia il titolare, sia la responsabile, con una corretta gestione del rapporto.
Questo per evitare che questi rapporti possano ripercuotersi negativamente nel trattamento dei dati personali con crescente rischi per i diritti e le libertà dell’interessato.
Spetterà al titolare andare a stabilire delle adeguate misure di
sicurezza di trattamenti. Successivamente dovrà selezionare il responsabile esterno in grado di garantire l’applicazione delle stesse oltre a dover verificare poi anche in corso d’opera descritti di applicazione delle misure di sicurezza nell’ambito della gestione di un sito di e commerce, di un’attività online evidente che a tutti i livelli sia in caso di aziende di piccole dimensioni o in caso i due giorni di grandi dimensioni. Sarà necessaria una erogazione di questo tipo di servizi di affidarsi ad aziende esterne che dovranno trattare i dati per conto del responsabile tipicamente in un attività di e commerce saranno diversi soggetti chiamati ad accedere ai dati del titolare. Potrebbe essere ad esempio del web agency per attività promozionali, piuttosto che provider che vanno a ospitare o gestiscono siti internet o piuttosto applicazioni dei sistemi di crm di rhythm management che sono quelli che nell’ultimo periodo sono più in auge soprattutto per le possibilità che danno nell’andare a penetrare il mercato. Chiaramente queste aziende che gestiscono questi strumenti dovranno essere selezionate da parte dei titolari con particolare attenzione alla capacità degli stessi di andare a garantire con le misure di sicurezza che lo stesso titolare in autonomia installi unito e in funzione dei diversi trattamenti che
verranno affidati a questi soggetti esterni. Di particolare importanza poi negli ultimi mesi, è stato ad esempio senza chance 2 che ha reso invalido il pratici per poi scendere a un protocollo di applicazione di garanzie adeguate fatto all’interno degli Stati Uniti alle quali potevano aderire alle stesse aziende americane, aziende che potevano in quel modo trattare dati di cittadini europei, garantendo agli stessi le stesse misure di sicurezza che venivano garantite dalla GDPR. Spesso attraverso l’invalidazione diciamo di questa presi shield, sarà il titolare dovrebbe verificare poi nel dettaglio se le aziende che vengono scelte garantiscono lo stesso livello di protezione che viene richiesto dal GDPR di chiarire in questo caso chiaramente alcuni strumenti diversi come possono essere nel centro o altri che vengono tipicamente utilizzati da diversi siti internet proprio per attività di newsletter, di comunicazioni commerciali. Potrebbero essere utilizzati
in maniera non legittima perché potrebbero non garantire le stesse
misure di sicurezza e allo stesso livello di protezione che viene garantito dallo stesso.
Lo sforzo sarà quindi per ogni titolare del trattamento che utilizza questi sistemi, di andare a valutare nello specifico le misure di sicurezza poste in essere da questi strumenti, per verificare se sono compatibili con il rischio che lo titolare del trattamento ha stabilito di poter supportare.
Qual è la peculiarità del gruppo Danone rispetto alla normativa sulla privacy?
Giancarlo Cesare Giorgio. La diversità dei trattamenti che può essere un elemento distintivo, da noi opera in Italia con due grosse divisioni con prodotti di mercati distinti: uno è quello più classico del largo consumo con prodotti che si possono menzionare alcuni di yogurt Activia, Actimel e l’altro è un mercato rivolto a un mercato di nutrizione specializzata con i sostituti del latte materno Mellin dell’alimentazione infantile e alimentazione medicale con gli elementi a fini medici speciali. Significa che tutto questo portafoglio dei prodotti va a soddisfare diversi tipi di consumatori professionisti e quindi nel concreto diversi tipi di trattamento nel momento in cui trattiamo un dato personale quindi lavoriamo su piattaforma e-commerce lavoriamo sui social media, lavoriamo negli ospedali con gli ambulatori dei medici e ogni soggetto che sia consumatore, un paziente, un professionista del settore medicale, nel momento in cui trattiamo un dato, necessita un trattamento una mappatura diversa quindi diverse finalità, diversi trattamenti della privacy. Questo è abbastanza complesso perché significa saltare da un trattamento all’altro, ma parla in anticipo e verificare che ci siano tutti quei criteri che il GDPR richiede un momento in cui c’è cioè in anticipo di questo trattamento.
La peculiarità sta nel fatto che nell’organizzazione Danone ha diversi tipi di trattamento perché sono diversi tipi di stakeholders e di dati personali che andiamo a trattare quotidianamente
In che modo si possono predisporre adeguate misure di sicurezza per evitare danni da data breach, quindi perdita o indisponibilità o accesso non autorizzato?
Claudio Terlizzi. Dobbiamo analizzare quello che è l’attuale normativa GDPR che qualche modo è stato particolarmente avaro di indicazioni specifiche su quali e quante le misure di sicurezza dovessero essere implementate per garantire la sicurezza nella gestione dei dati personali dei cittadini europei.
Questo, in rottura rispetto a quello a cui eravamo abituati a Milano in Italia con il famoso allegato b della previgente codice privacy in cui avevamo una elencazione pedissequa di misura di sicurezza che devono essere implementate su tutti i trattamenti e di tutti i settori poi economici senza fare una distinzione rispetto alla più o meno diverse rischiosità del trattamento. Questo è totalmente cambiato nell’applicazione del nuovo regolamento, in cui in ordine al principio di accountability che iniziano a quello di privacy by design by default pervadono tutta la normativa viene richiesto in realtà al singolo titolare del trattamento di andare a determinare quali e quante misure tecniche organizzative devono
essere implementate per garantire il livello di sicurezza.
Questo il GDPR ci da esclusivamente ì un indirizzo metodologico
cioè ci dice queste misure devono essere adeguate. Un’attività che deve essere sicuramente possono essere successivamente a una corretta mappatura come correttamente riportato dal dottor Giorgio di tutti i trattamenti volti in azienda. Deve essere per ogni trattamento, valutato il rischio, un rischio di poter incidere sui diritti e le libertà delle persone fisiche quindi degli interessati a seguito di questa attività di risk assessment dovranno essere implementate una serie di remediation specifiche per ogni rischio dedotto e in particolare in queste attività di rimender non dovranno essere finalizzate a garantire la sicurezza del dato in sicurezza. In questo caso il GDPR ci da degli elementi per effettuare una buona valutazione, deve essere protetta il dato deve essere si dice disponibile quindi devono essere implementate dei sistemi che garantiscano l’alta affidabilità ossia il fatto che il dato debba essere accessibile in ogni momento in cui è richiesto deve essere garantita l’integrità dei dati di riferimento. In questo caso al sistema di backup e disaster recovery in grado di ripristinare un dato che si è perso, reso comunque non accessibile e sistemi in grado di garantire la riservatezza è il fatto che il dato non debba poter essere ceduto esclusivamente a soggetti autorizzati.
Esistono diverse soluzioni di mercato ovviamente con la distribuzione della nuova normativa, diversi operatori del settore hanno adeguato le proprie per essere tra virgolette un GDPR compliance anche se non è propriamente un modo corretto di pubblicizzare alla propria soluzione. Quello che è
importante ricordare che il titolare, che deve valutare se queste soluzioni sono poi nel concreto in grado di ridurre e limitare il rischio durante la fase di riscaldamento e fino ad esempio scegliere di non porre in essere il trattamento nella misura in cui non riesca a trovare una soluzione adeguata di mercato o interna organizzativa in grado di ridurre o contenere o eliminare su quanto possibile il rischio di tutta la responsabilità, è comunque del titolare del trattamento.
Quali sono i rischi privacy che affrontate voi come gruppo Danone?Giancarlo Cesare Giorgio. La gestione privacy in modo corretto e trasparente sia un asset aziendale specialmente per un’azienda di
largo consumo come Danone nel settore della nutrizione che sia ol consumo specializzato, il fatto di avere un focus particolare su quest’area è fondamentale, perché siamo veramente esposti, siamo in prima linea.
La realtà aziendale complessa, più i supermercati, uno dei maggiori rischi è quello di non mappare e per quello che aveva detto prima in modo appropriato ogni trattamento o non vederlo. Non vederlo perché siamo diverse aziende nell’azienda con diverse funzioni, quindi è uno dei principi cardine come diceva dottor Terlizzi è il privacy by default, che ci impone comunque un approccio rigoroso prima che ogni tipo di attività inizia. Insieme al privacy by design ci impone innanzitutto la conoscenza dell’organizzazione che questa è la parte più difficile perché significa conoscere bene tutte le attività che tutti i dipartimenti pongono in essere e che avranno un impatto su di trattamento dei dati personali e seguirne, costruire un vestito quasi sartoriale perché sei tu azienda che conosci il tipo di trattamento. È un lavoro continuo, molto faticoso per la mia funzione perché è una ricerca continua anche di collaborazione di tutte le funzioni
aziendali e continua alla fine di intercettare di compliance legale ed
apartheid, quindi di intercettare di captare ogni segnale di ogni progetto che comporta un trattamento e quindi la governance è molto importante per avere un grip diciamo su tutta l’organizzazione. È fondamentale il non
perdere la conoscenza organizzativa per non perdere un trattamento. Sarebbe un disastro al di là poi di tutte le varie misure di sicurezza che dovevano implementare che l’altro lato molto molto difficile perché non è semplice con lo sviluppo tecnologico. Poi siamo costretti a inseguire spesso è anche lo stesso la gestione, la conservazione eccetera. Non sono più cose semplici ma è una continua evoluzione che ci pone delle sfide e
che sono difficili e che necessitano un continuo monitoraggio.
Come è possibile gestire l’account ability richiesta dalla normativa europea in assenza di processi e misure che siano standardizzati?
Claudio Terlizzi. La difficoltà è quella di andare molto spesso a rincorrere sistemi e situazioni che sono in continua evoluzione, in continuo cambiamento. D’altronde è un po’ quella che è la filosofia dell’ Extrema ratio che sta dietro i principi del nuovo regolamento. Il fatto di creare un sistema che non sia recente nel giro di pochi anni come è accaduto ad esempio per la vecchia normativa ma che sia in grado comunque di adeguarsi ai cambiamenti tecnologici che sono molto frequenti e molto veloci. Per questo motivo, proprio per poter gestire efficacemente la contabilità che viene richiesta dal nuovo regolamento, mi sento di poter dire che è necessario comunque implementare all’interno dell’azienda ai miei di qualsiasi dimensione sia di grandi dimensioni sia aziende di piccole dimensioni, dei modelli di gestione privacy, che siano in grado di creare un framework in grado di adeguare tutte le procedure previste ai cambiamenti in atto.
Questo ovviamente è molto complesso non ci sono delle indicazioni specifiche come vi dicevo da parte del regolamento stesso. Esiste però una previsione ad esempio quella contenuta nell’articolo 42 che fa riferimento a sistemi di certificazione a codice di condotta che auspica che le singole autorità nazionali pongano in essere nel più breve tempo possibile sui codici di condotta ne sono stati ultimamente ma nati due e sui sistemi di certificazione ancora siamo alto mare.
Questi sistemi di certificazione così aiutano sicuramente le aziende a poter avere delle risposte più chiare più precise. Poter implementare dei sistemi dei framework che siano frasi compliant . Ad oggi framework che sono nati inizialmente per la sicurezza delle informazioni come possono essere ad esempio quelle appartenenti alla famiglia delle iso 27001 che framework specifici per la privacy come potrebbe essere quello sviluppato ultimamente dal nice, possono essere facilmente utilizzati per costruire dei modelli privacy ovviamente adeguati per poter recepire tutti quelli che sono le specifiche esigenze e peculiarità delle attività. Il modello privacy che già è stato implementato poi aiuta sicuramente un processo di continuo miglioramento che è tipico delle procedure previste ad esempio terreno dell’enorme disco anche quella sulla qualità che aiuta sicuramente a implementare dei sistemi di controllo che sono proprio richiesti dalla normativa stessa nell’applicazione proprio del principio di accountability.
Quali sono state effettivamente le criticità che avete affrontato nell’implementazione della normativa europea che come diceva lei
prima, ha portato anche a un cambio di filosofia aziendale con il
coinvolgimento appunto di tutta la governance?
Giancarlo Cesare Giorgio. Credo che l’approccio stesso è il punto cardine e di criticità dell’implementazione. Io torno sempre su due principi fondamentali che sono tra by design perché è come dire: tu sei titolare del trattamento, tu fai un trattamento tu sai la tua organizzazione e conosci e la fai e la adatti il sistema GDPR privacy con i sistemi di controllo in funzione del tipo di trattamento e quindi costruire una serie di validi presidi come i dati tra gli studi. Per noi è fondamentale, le faccio un esempio che per noi, per me è fondamentale, in quest’ottica qui ci sono vari cambiamenti che GDPR ha reintrodotto tra i quali il travers impact assessment e anche l’obbligo di comunicare il data breach all’autorità. Se io non faccio un trattamento corretto non marco la mia organizzazione e c’è un data breach e io non lo vedo e non lo comunico rischio. Il punto è questo, la funzione che gestisco ha l’obbligo di costruire mappare e fare lo scanning, lo scanner di tutta l’organizzazione perché se io lei ci prende mi manda un cedolino alla persona sbagliata è un data breach che io devo comunicare cioè sono
migliaia i momenti in cui un data breach può avvenire ad esempio che io ho l’obbligo di comunicare ma per comunicarlo lo devo farlo dire, individuare devo individuarlo devo capire perché avvenuto devo capire qual è il trattamento era appropriato.
Molto difficile perché è una continua evoluzione ed è una continua scoperta quotidiana e partendo anche da queste piccole cose io vedo il lavoro finale che ad esempio è la comunicazione data breach ma va al prima data breach. Se accade e io non lo trovo, quindi le criticità stanno appunto in questo i due principi che legislatore ci ha già mbuttato in faccia dice tu sei costruisci il tuo vestito poi io giudicherò. Se io non sono in grado di verificare di mappare di trovare in anticipo ho dei problemi seri perchè poi un consumatore cui faccio un database perché non mi ha chiesto non ho cancellato una sua e mail in cui mi chiedeva di cancellare i suoi dati personali ed è sfuggito alla persona del marketing che non lo ha comunicato che quindi non l’ho cancellato dal registro, è un problema perché primo non ho fatto un training adeguato alla persona che non l’abbia vista, non sapeva nulla, non sapeva che c’era un registro dei
trattamenti cioè una serie di cose quindi la difficoltà in realtà e questo costruirsi il vestito adatto che sia perfetto e che copra tutte le aree questo è un logo un esercizio quotidiano molto difficile e molto molto faticoso.
© Trascrizione Automatica