La pandemia, e il conseguente spostamento delle attività dalla dimensione reale a quella digitale, hanno cambiato il modo di trattare i dati personali. Se da un lato il GDPR ha contribuito ad armonizzare le norme sulla privacy a livello europeo, serve una maggiore sensibilizzazione sull’importanza di tutelare i dati personali. Ad affermarlo è Francesco Conti, fondatore di Conti Studio legale.
Con lo scoppio della pandemia quali sono state le maggiori criticità riscontrate dalle aziende nella protezione dei dati? In che modo il consulente può supportarle nel garantire la sicurezza informatica?
Tra lavoro da casa e riunioni telematiche le aziende hanno dovuto riadattare i propri meccanismi, avendo cura che le informazioni relative ai propri clienti, dipendenti o fornitori non sfuggissero al loro controllo, onde evitare il verificarsi dei tanto diffusi (e temuti) “data leak” e “data breach” . In uno scenario di questo tipo, l’attività del consulente data protection è spesso imprescindibile: il primo passo è generalmente la mappatura dei trattamenti dati effettuati; segue una valutazione sui possibili rischi; infine, si elaborano le procedure che regolano il percorso dei dati, che siano in grado di garantire (e dimostrare) il rispetto delle normative che regolano il trattamento e la tutela dei dati personali.
Ritiene che la normativa attualmente vigente in tema di protezione dei dati sia uno strumento adeguato per le imprese o presenta delle lacune?
Il GDPR costituisce un grande passo avanti, soprattutto perché ha avuto il merito di consentire l’armonizzazione delle normative all’interno dell’Unione. Esistono però ancora alcuni nodi interpretativi di non sempre facile soluzione. In questo senso, ovviamente rivestono fondamentale importanza le pronunce del Garante Privacy e dello European Data Protection Board (Edpb).
Quali sono gli scenari futuri in materia di sicurezza informatica e strumenti a tutela dei dati personali? In che modo è cambiata la concezione di “dato personale” negli ultimi anni?
Esistono società che valgono solo per i dati che sono in grado di trattare. L’intelligenza artificiale sta sviluppando meccanismi sempre più raffinati, basati esclusivamente sull’elaborazione di dati personali. Tutto ciò richiede leggi adeguate all’evoluzione dei tempi, capaci di leggere con anticipo gli sviluppi della tecnologia, per regolarne il corso senza svilirne le potenzialità di apportare cambiamenti positivi nelle nostre vite, ovviamente nel rispetto dei principi inderogabili già stabiliti. È anche necessario fornire agli operatori dell’economia la certezza del diritto, uno dei principali aspetti considerati per i nuovi investimenti. Oltre a questo, ritengo indispensabile una vera opera di sensibilizzazione, da parte dei Governi e ovviamente degli operatori del settore, sui privati cittadini, in merito all’enorme valore che hanno i loro dati: spesso chi si lamenta dell’intrusività di taluni servizi è colui che accetta tutti i cookies di ogni sito, senza consapevolezza di ciò che sta facendo. Questo tipo di consumatore contribuisce allo sviluppo del fenomeno della monetizzazione dei dati personali, che dagli Stati Uniti si sta ora diffondendo anche in Europa (pur con tutte le limitazioni teoricamente imposte dal GDPR), con comprensibile attenzione anche dei Garanti e di noi operatori.