Intervista all’Avv. Anna Rosaria Storelli per capire cosa è il GDPR e perché investire sul rispetto della privacy, attraverso un Trattamento dei dati personali a norma sul proprio sito web, non è soltanto necessario: è anche strategico.
Viviamo e facciamo la rivoluzione digitale: siamo nell’era dei data. L’intera struttura della nostra società, e dell’economia, è fondata sui data. E anche i siti internet – strumenti di networking, commercio, erogazione di servizi – fondano il proprio funzionamento e la propria efficacia sulla capacità di raccolta e analisi dei dati.
Noi di Tiablo siamo un’agenzia digitale e impieghiamo la nostra creatività per ideare siti web, digital strategy e brand community che creino valore. Per questo abbiamo deciso di approfondire in modo specialistico il tema del Trattamento dei dati personali sui siti web, grazie alla collaborazione di Anna Rosaria Storelli, avvocato d’impresa esperta di diritto delle nuove tecnologie e privacy nonché ideatrice di LegalMag, format di consulenza d’impresa strategica, smart e dinamica.
I data sono parte di noi: siamo noi a produrli, attraverso il nostro lavoro, o anche solo attraverso le nostre interazioni quotidiane, le nostre azioni di users. Prendersene cura vuol dire curare le relazioni tra business e utenti, e creare network di valore.
Conoscere le norme del GDPR sulla privacy è ormai essenziale per chi fa impresa: non soltanto per le sanzioni previste per chi non le rispetta, ma anche per le opportunità di crescita offerte dalla loro adeguata conoscenza e applicazione.
Partiamo dalle basi. GDPR, cosa è?
“General Data Protection Regulation, cioè il Regolamento Generale per la Protezione dei Dati. Si tratta del Regolamento Europeo n. 2016/679, sul quale si basa la protezione dei dati personali nell’Unione Europea.”
Possiamo definire il 2016 come l’anno zero in materia di privacy? Il momento in cui l’istituzione europea ha riconosciuto e consacrato il dato come valore?
“Assolutamente sì, questo complesso di norme rappresenta un’evoluzione di mentalità nel percorso già tracciato dal D. Lgs. 30 Giugno 2003, n. 196.
Il principio assunto è tanto chiaro quanto semplice: la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale, ciò in base al combinato disposto del Considerando n. 1 del citato GDPR con gli articoli 8, paragrafo 1, della Carta dei Diritti Fondamentali dell’Unione Europea e 16, paragrafo 1, del Trattato sul Funzionamento dell’Unione Europea.”
Cosa significa riconoscere questa centralità ai dati personali?
“Riconoscere la centralità e il ruolo dei dati personali conferma il fatto che il GDPR sia assolutamente coerente con la cultura giuridica di matrice comunitaria.
Da questo punto di vista, la ratio di tutelarli, attraverso questo corpus di principi generali e norme, rende la Privacy un asset fondamentale che contribuisce alla realizzazione di uno spazio di libertà, sicurezza, giustizia ed unione, nonché al progresso economico e sociale, al rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone fisiche. Dall’altra, ha coniugato l’esigenza di coerenza ed uniformità legislativa, avendo novellato l’antecedente Codice Privacy ed abrogato la Direttiva n. 95/46/CE, con il tema dell’autodeterminazione, della consapevolezza e della responsabilità di tutti i soggetti interessati.”
L’esigenza di tutelare i dati personali deriva dalla repentina evoluzione tecnologica e dalla globalizzazione della comunicazione: produciamo dati continuamente, con qualsiasi nostra azione. E questi dati parlano di noi. Potremmo affermare che It’s all about data. Che rapporto c’è tra una persona e i propri dati?
“Il GDPR ha avuto il merito di riconoscere una corrispondenza biunivoca tra dato e persona. Non esiste l’uno senza l’altra. Questo rapporto è rappresentabile attraverso un semplice sillogismo:
le persone sono portatrici di diritti fondamentali meritevoli di tutela;
le persone incorporano taluni dati, cioè delle informazioni del pari intangibili;
il trattamento di questi dati deve pertanto essere giuridicamente, tecnologicamente e tecnicamente disciplinato, per garantire a quelle persone protezione e privacy.”
“la Privacy: un asset fondamentale che contribuisce alla realizzazione di uno spazio di libertà, sicurezza, giustizia”
Ma cos’è un dato personale, dal punto di vista giuridico e sociologico?
“L’art. 4, paragrafo 1, n. 1 GDPR lo definisce come “qualsiasi informazione riguardante una persona fisica identificata o identificabile”. Specificamente, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Sotto questo punto di vista, il GDPR ha rappresentato un punto di non ritorno, poiché ha rimediato all’entropia derivante dall’iperconnessione e iperesposizione delle persone, dunque, dei dati personali, e al contempo ha definito come prioritaria l’esigenza di assumere condotte umane eticamente ispirate e modelli di business people-driven.”
Dunque l’iperconnessione presenta dei rischi, possibili derive. Però l’impulso umano a comunicare è inarrestabile, radicato profondamente dentro di noi. Come si trova un equilibrio?
“Il GDPR ha riconosciuto l’esistenza di un sistema datocentrico e ha posto come prioritaria l’esigenza di tutelare i dati in rete, quale luogo delle interazioni virtuali: in questo senso, mira a far dialogare tecnologia e valori.
Premesso che il Regolamento tutela i dati riconducibili alla persona fisica (Interessato) attraverso il rispetto di norme di comportamento dirette ad una qualsivoglia persona giuridica (Titolare) nell’ambito di un processo di gestione (Trattamento), questo equilibrio può essere raggiunto puntando alla qualità, ovvero promuovendo la divulgazione di un’adeguata cultura imprenditoriale della privacy e adottando uno specifico risk based approach. Come detto, la rivoluzione digitale ha introdotto nuovi paradigmi di conversazione, a cui corrispondono nuove modalità di gestione delle informazioni e degli strumenti di comunicazione. Da una parte, gli utenti sono diventati parte attiva nella creazione di contenuti e, dall’altra, le imprese sono chiamate ad adeguarsi attraverso l’adozione di modelli di business innovativi ed interattivi per meglio rispondere alle nuove dinamiche sociali.”
Finora abbiamo parlato del GDPR dal punto di vista del soggetto tutelato. Chi è chiamato a tutelarlo e perché dovrebbe farlo?
“Per apprezzare appieno le potenzialità del GDPR per un imprenditore, è necessario comprendere l’importanza di un Trattamento dei dati personali privacy compliant.
A tale scopo, dobbiamo partire dal fornire anzitutto una definizione di azienda che, secondo la teoria dei sistemi, è da intendersi quale “un’unità globale organizzata di interrelazioni fra elementi, azioni, individui” (Morini, 1977) ovvero “un insieme di unità in reciproca interazione” (von Bertalanffy, 1956).
Il fatto di essere un’organizzazione implica l’esistenza di una serie di processi che governano l’azienda stessa, uno dei quali è rappresentato appunto da un Trattamento dei dati personali conforme. Inevitabile, dunque, che un imprenditore ne riconosca l’importanza strategica e strumentale.”
Si può dunque considerare il GDPR un valido strumento di gestione nell’ambito di un processo aziendale adottato da un’impresa, al pari di altri? Ad esempio, lavorare adeguatamente sulla privacy di un sito internet è un asset strategico? Perchè?
“A mio avviso, questa dovrebbe essere la lettura inedita e non banale da offrire all’imprenditore, attraverso tre parole chiave:
- Compliance. Non è un adempimento formale, ma una funzione che contribuisce strategicamente alla crescita dell’impresa e della leadership dell’imprenditore, poiché porta il Titolare a mappare correttamente il processo di Trattamento in corso, a procedere a gap analysis ed audit interni, nonché a dotarsi di una filiera virtuosa, riorganizzando i rapporti con tutti gli stakeholders, partendo dalla catena di distribuzione con i fornitori, rivedendo i contratti con i clienti, coinvolgendo il senior management e formando – last but not least – il personale;
- Investimento. La privacy non è un mero costo né una perdita di tempo bensì un investimento poiché, adottare una policy di trattamento conforme al GDPR, permette all’impresa di tutelarsi rispetto alle gravi sanzioni (soprattutto, di carattere pecuniario) che derivano in caso di violazione, di consolidare la propria brand reputation e di far crescere anche il proprio business online grazie all’adozione di strategie lecite di marketing e retargeting;
- Sviluppo. Si può infine sostenere come il Garante della Privacy possa considerarsi alla stregua di un ghost partner che contribuisce indirettamente allo sviluppo dell’impresa, poiché la consultazione delle linee guida, la quotidiana informazione e la costante formazione del team sull’argomento da parte dell’imprenditore consentono – mutuando una terminologia tipica del diritto comunitario – la libera circolazione dei dati che altro non vuol dire se non libera comunicazione dei valori, dei prodotti e dei servizi dell’impresa in luoghi virtuali.”
“Da una parte, gli utenti sono diventati parte attiva nella creazione di contenuti e, dall’altra, le imprese sono chiamate ad adeguarsi attraverso l’adozione di modelli di business innovativi ed interattivi per meglio rispondere alle nuove dinamiche sociali.”
Privacy compliance, cosa significa?
“Per compliance si intende generalmente il rispetto, la conformità a determinate norme, principi, regole o standard che, nel caso di specie, sono quelli posti dal Legislatore Europeo ed applicati da quello Italiano.
Affinchè una policy o un processo possa definirsi conforme (compliant), il GDPR ha introdotto e valorizzato alcuni principi fondamentali che rappresentano una evoluzione rispetto al passato e una rivoluzione proiettata verso il futuro, ovvero accountability, privacy by design e privacy by default, parametri che ne misurano il livello di resilienza.”
Cosa s’intende per accountability?
“L’accountability rappresenta la vera novità introdotta dal GDPR e consiste nel principio di responsabilizzazione del Titolare del Trattamento il quale, ai sensi dell’art. 5, in primo luogo:
- deve adottare un modello di gestione che sia lecito, corretto e trasparente nei confronti dell’Interessato, per far sì che i dati personali siano minimizzati, ossia adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati, siano altresì esatti e costantemente aggiornati, oltre che conservati per un arco di tempo non eccedente il conseguimento delle predette finalità e, in secondo luogo;
- deve essere sempre in grado di comprovare detta conformità.”
Chi fa impresa potrebbe domandarsi come tradurre in pratica questa compliance. In altre parole: GDPR, cosa fare?
“Per rispondere vorrei partire dalle parole di Luca Egitto, in un articolo pubblicato sulla Guida normativa de Il Sole 24 Ore del Febbraio 2018: “Il Regolamento impone questo obbligo ai titolari del trattamento. Devono riservare il grado massimo di protezione agli interessati in tutta la filiera evolutiva del trattamento e progettare tecnologie che utilizzino il minor numero possibile di dati personali”. Questa affermazione pone in evidenza lo stretto legame tra privacy e sicurezza, tra qualità dei dati e valutazione dei rischi, tra tecnologia ed ecologia dei dati. E chiarisce anche un altro punto, fondamentale: non esiste un modello preimpostato, una soluzione unica per applicare il GDPR a qualunque sito internet. Ogni filiera, ogni ecosistema è differente, e dunque diversi saranno gli strumenti per “riservare il grado massimo di protezione agli interessati”.
Sul piano normativo, abbiamo pertanto assistito alla crescente attenzione e sensibilizzazione nei confronti del tema privacy e della protezione dei dati personali, intesi come un vero e proprio bene di valore sul mercato digitale e, come tale, meritevole di tutela giuridica.”
La tutela della privacy dei propri utenti e clienti va dunque costruita attraverso un Trattamento ad hoc. Come si stanno muovendo le imprese per mettersi in regola con il GDPR? Conviene rivolgersi a figure professionali specifiche?
“Indubbiamente, il nuovo quadro normativo ha impresso un’evoluzione anche nell’offerta di consulenza business2business. Gli stessi professionisti del diritto hanno dovuto implementare le proprie competenze, sviluppando una certa trasversalità nell’approccio alla materia, al diritto delle nuove tecnologie appunto.
Per esempio, fondamentale e strategica è la sinergia tra avvocato e IT manager nella progettazione di prodotti, servizi e applicazioni ad alto contenuto digitale, nel rispetto dell’art. 25 GDPR e dei principi ivi sanciti di privacy by design (paragrafo 1) e privacy by default (paragrafo 2).”
“La privacy non è un mero costo né una perdita di tempo bensì un investimento”
Qual è il significato di privacy by design?
“Il Titolare del Trattamento è chiamato a mettere in atto misure tecniche ed organizzative adeguate (design), quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e ad integrare nel Trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli Interessati. La privacy, dunque, va pensata già in fase di progettazione e di web designing.
A tale scopo, il processo di gestione deve tener conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del Trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal Trattamento, sia al momento di determinare i mezzi del Trattamento sia all’atto del Trattamento stesso.”
Cosa s’intende per privacy by default?
“Il Regolamento prescrive al Titolare del Trattamento di mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita (default), solo i dati personali necessari per ogni specifica finalità del Trattamento.
Tale obbligo vale per la quantità dei dati personali raccolti, la portata del Trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, sempre per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.”
Il GDPR offre un quadro generale di processo. Ma è possibile una standardizzazione dei moduli del Trattamento? Per esempio di privacy policy, registro dei trattamenti, atto di nomina?
“Come visto, il Regolamento stabilisce i principi quadro e le norme, ma lascia al Titolare la libertà e l’autonomia di adottare la miglior soluzione possibile applicabile alla fattispecie concreta, in materia di Trattamento dei dati inteso come sistema organizzato di adempimenti online e offline.
Sotto questo profilo, è altrettanto evidente che la ratio sottesa alle norme del GDPR sia quanto di più lontano dal concetto di standard, di modello uniforme, di burocrazia.
Ridurre la privacy ad una mera informativa all’Interessato sarebbe un gesto di grave irresponsabilità da parte del Titolare, un errore di valutazione sintomatico di un approccio superficiale alla materia.
Il Legislatore ha inteso sì responsabilizzare il Titolare del Trattamento, salvaguardandone il perimetro di indipendenza, ma ha abdicato ogni volontà di standardizzazione, omologazione o pedissequa replicabilità all’atto di fornire le Informazioni di cui agli artt. 13-14 GDPR (tanto per indicare uno dei primi adempimenti di un’ipotetica checklist).
Se, dunque, non si può ricorrere a modelli duplicabili, quello che giuridicamente rileva non è il quomodo nel suo aspetto formale bensì la capacità di dimostrare ex post la conformità soprattutto sostanziale dei processi aziendali in caso di controllo o data breach: per dirla in modo più stringato, l’importante non è copiare un’ipotetica Informativa sulla privacy standard, ma dimostrare nella sostanza di trattare la privacy al meglio delle possibilità.”
Quindi non è possibile semplicemente servirsi di un ipotetico modello standard di informativa sulla privacy?
“Diciamolo chiaramente: percorrere scorciatoie del genere copia/incolla è inefficace, non preserva dalle sanzioni ed anzi concorre alla crescita esponenziale delle probabilità di violazione.
A tale riguardo, il Titolare – che altri non è se non l’Imprenditore e legale rappresentante pro tempore che presiede il Trattamento – non può assolutamente permettersi di sottovalutare l’importanza di conformare la gestione dei dati personali al Regolamento ed anzi è tenuto a revisionare la filiera in termini di acquisizione, catalogazione, tracciabilità dei consensi, conservazione, eliminazione.”
“non esiste un modello preimpostato, una soluzione unica per applicare il GDPR a qualunque sito internet.”
È quindi chiaro che il copia/incolla non paga e che non dobbiamo pensare che il GDPR competa solo a grandi imprenditori. Quale dovrebbe essere il corretto atteggiamento di una piccola impresa o commerciante per mettere il proprio sito in regola?
“Prendiamo in esame il caso di un business online, il classico form di contatto di un tradizionale sito vetrina.
Molteplici gli elementi da valutare, tra i quali:
- stabilire preliminarmente quali informazioni siano obbligatorie e quali facoltative e, nel caso, sacrificare le seconde
- informare ai sensi dell’art. 13 GDPR attraverso il link alla privacy policy che, evidentemente, non potrà essere riadattata da altro sito
- acquisire il consenso chiaro, specifico, espresso in presenza di profilazione e marketing
- individuare per ogni attività, per ogni trattamento la specifica finalità e base giuridica
- prevedere una check box privacy compliant che l’Interessato dovrà spuntare prima di premere il tasto “invio”
A ben vedere, gli adempimenti sono eterogenei e si sottraggono a qualsivoglia standardizzazione.
Stesso discorso dicasi al riguardo del carrello di un sito e-commerce.
Disciplinare il processo di acquisto sotto il profilo della privacy non solo implica la conoscenza del GDPR in senso stretto ma anche le interazioni del Regolamento con il Codice del Consumo o con le Condizioni e Termini d’Uso (lo sapevate che sono obbligatorie?) che, come potrete facilmente intuire, sono rispettivamente norme ulteriori e/o fonte di obbligazioni che il Titolare deve conoscere, applicare, predisporre.
Infine…e se il business online del nostro imprenditore fosse su Facebook? Ecco, su questo argomento si apre uno scenario ancora più complesso, giacché è ancora da chiarire con assoluta inequivocità chi sia persino il Titolare della Pagina, con tutte le inevitabili conseguenze sul piano della responsabilità giuridica.”
In termini di business strategy, quali sono i vantaggi della compliance GDPR per un’impresa?
“La compliance è un vero e proprio asset strategico e, come abbiamo visto con i due concetti di privacy by design e privacy by default, deve essere pensata già in fase progettuale, come parte della digital strategy di un’azienda. Penso subito a due vantaggi strategici.
Razionalizzazione
I volumi di data raccolti crescono quotidianamente, un flusso enorme e disordinato. Strutturare un Trattamento chiaro e razionale, che gerarchizza in ordine di necessità i dati personali, è parte di un approccio ordinato e sistematico al business e al Customer Relationship Management, ed è qualcosa che ripaga.
Brand loyalty
Le preoccupazioni per la propria privacy sono sempre più diffuse e forti, tra utenti e consumatori. Segno che una cultura del dato si sta diffondendo. Questo vuol dire che un’azienda che garantisca un Trattamento scrupoloso e rispettoso affermerà la propria authority e rafforzerà la brand loyalty della propria community.”
Morale: non date mai nulla per scontato, non copiate, non risparmiate, non andate per tentativi.
“Esattamente! Se pensate che ricorrere alle competenze di un professionista sia costoso, sappiate che l’ignoranza o l’improvvisazione vi costerà di più.
La privacy non è un unicorno né una chimera, il GDPR non è un vangelo apocrifo.
In questo, il legislatore dimostra grande apertura e dà ampio spazio di autonomia. Infatti, non si chiede all’imprenditore un atto di fede né un budget illimitato, bensì un mindset in termini di cultura del dato personale. Si chiede di comprendere pienamente il valore del dato personale, e di fare tutto ciò che può essere fatto per trattarlo con rispetto.”
“l’obiettivo è quello di costruire, conservare, dare continuità, proteggere e crescere”
È necessario ripensare i nostri modelli di business in conformità ai principi del GDPR.
“Confermo. Non possiamo differire a data da destinarsi l’implementazione e l’efficientamento dei processi aziendali, soprattutto se l’obiettivo è quello di costruire, conservare, dare continuità, proteggere e crescere.
Abbiate a cuore i vostri data.”
