Il 25 maggio 2018 sarà operativo il nuovo Regolamento europeo: se non ci si adegua, le imprese di San Marino rischiano di venire escluse dal mercato, oltre a sanzioni milionarie. Gloria Paci, esperta di tutela dei dati personali: “Oltre a tutelare i diritti dei cittadini, questa normativa offre anche nuove opportunità, dal Data Protection Officer ai Data Center”.
di Daniele Bartolucci
Con la nuova legislazione in materia di protezione dei dati (introdotta nel 2016 con il General Data Protection Regulation o Regolamento UE 2016/679, in sostituzione alla Direttiva sulla protezione dei dati del 1995) le aziende che trattano i dati personali dei cittadini europei dovranno sottostare a nuovi obblighi e responsabilità. Anche se l’applicabilità della nuova legge avverrà solo il 25 maggio 2018, occorre che le imprese inizino fin da subito i preparativi per garantire di essere pronte a dimostrare la conformità alle normative. E, nel caso di San Marino, anche le Istituzioni preposte intervengano per rendere compliance la normativa di riferimento, “perché non farlo esporrebbe le imprese – ma anche la pubblica amministrazione, nel caso vengano erogati servizi a cittadini UE, a forti limitazioni, se non esclusioni dal mercato europeo” spiega la Dott.ssa Gloria Paci, Consulente Privacy ed esperta di tematiche legate alla tutela dei dati personali. “Di fatto, così si metterebbe San Marino fuori dal mercato europeo”.
Il nuovo Regolamento è davvero così stringente?
“E’ il concetto stesso di privacy, intesa come diritto alla riservatezza, ad essersi evoluto a tal punto da riguardare tutto e tutti. Il nuovo Regolamento è ispirato ad una maggiore trasparenza nella gestione dei dati ed è finalizzato a dare un maggiore controllo al cittadino sul loro utilizzo. Il principio è la protezione del dato, e “delle persone fisiche” che sono diritti fondamentali di ogni persona. Ciò che attiene alla sfera personale oggi è continuamente a rischio, in una società che continuamente ci tiene mappati e monitorati. Il Regolamento UE va a disciplinare tutte queste tutele, formalizzando obblighi e sanzioni per chi non le rispetta”.
Sanzioni e burocrazia, quindi?
“Le sanzioni sono molto alte, fino a 20 milioni di euro o per il 4% del fatturato mondiale annuo di una società, a seconda di quanto risulti più gravoso per l’azienda sanzionata. La burocrazia è meno onerosa di quanto si pensi, ma c’è, e per le aziende sarebbe molto rischioso sottovalutare la questione”.
Il Regolamento apporta quindi solo nuovi oneri per le imprese?
“No, anzi. Se da una parte ci saranno più adempimenti obbligatori per quelle aziende che vogliono continuare a offrire servizi e beni a cittadini degli Stati membri dell’Unione Europea, dall’altra ci sono notevoli opportunità di sviluppo in un settore strategico come questo”.
Opportunità di business?
“Certamente. Nelle aziende diventerà fondamentale la figura del Data Protection Officer. Solo in Italia, secondo le stime di alcune associazioni di settore, saranno oltre 45.000 le aziende pubbliche e private che devono dotarsi di un “responsabile della protezione dei dati”, figura che avrà la responsabilità di vigilare che l’azienda rispetti effettivamente le regole, dando se richiesto la consulenza necessaria per adeguarsi, e fungere da punto di contatto sia con gli interessati che con il Garante. Si aprono poi nuovi scenari industriali, con la possibilità di creare dei Data Center all’avanguardia, eventualmente certificabili in applicazione dell’art. 42, 43 del nuovo Regolamento. Anche a San Marino se ne potrebbero creare diversi”.
San Marino però non ha una legislazione così efficace, si può migliorare?
“Si può e si deve, mi viene da dire. Per le istituzioni il 25 maggio del 2018 non è tra un anno, ma è domani. Occorre uno sforzo importante, di sistema, se si vuole arrivare alla scadenza con una normativa in grado di sostenere le imprese sul mercato europeo ed evitare che queste vengano tagliate completamente fuori o rischino sanzioni milionarie”.
Senza considerare che anche lo Stato potrebbe venire sanzionato, giusto?
“La materia è complessa, ma l’Europa punta a tutelare il diritto dei suoi cittadini e questo vale anche nel caso di beni e servizi erogati dallo Stato di San Marino. Si pensi solo alla videosorveglianza (in Repubblica sono 350 le telecamere attive, ndr) o alla sanità. Sono tutti dati sensibili che vanno raccolti, mantenuti e fatti circolare nella maniera più sicura possibile”.
Per questo il Convegno dell’8 giugno?
“Non siamo partiti oggi, è oltre un anno che con ANIS e Camera di Commercio lavoriamo sulla questione, per sensibilizzare le istituzioni, le imprese e tutto il sistema sammarinese a comprendere l’importanza della privacy nella società moderna, non solo nella comunità europea. Il convegno servirà anche a dare risposte più precise alle richieste che vengono dal mondo delle imprese, ma anche del volontariato, dell’associazionismo e dal mondo del lavoro, dove in mancanza di un vero e proprio Statuto dei Lavoratori, il problema per San Marino è ancora maggiore”.
San Marino potrebbe quindi legiferare in tal senso, anche domani?
“Sicuramente si tratta di un passaggio importante, epocale per certi versi, e come tutti i grandi cambiamenti richiede tempo e impegni ben precisi. Ma San Marino non è affatto solo in questo percorso. Già in questa Giornata della Privacy ci sono esperti di livello internazionale, come Umberto Rapetto, o come Mario de Bernart dell’Ufficio del Garante italiano, che potrebbe essere un ottimo interlocutore per il Governo e soprattutto per il Garante sammarinese, al quale si potrebbe affiancare un gruppo di lavoro instaurando collaborazioni. In questo senso, visti anche i tempi stretti, occorrerà capire quanto San Marino vorrà investire, in termini di tempo e risorse, a questo cambiamento”.
OBBLIGHI
Il Regolamento Europeo Privacy o GDPR introduce nuove tutele a favore degli interessati, e inevitabilmente nuovi obblighi a carico delle imprese. Gli ambiti in tal caso sono distinguibili, per le aziende, in: personale dipendente, clienti e fornitori. Gli obblighi sono diversi e alcuni del tutto innovativi, in linea con le dinamiche tecnologiche e, soprattutto, dell’online, come ad esempio l’introduzione del diritto dell’interessato alla “portabilità del dato” (nel caso in cui, per esempio, si voglia trasferire i propri dati da un social network ad un altro) e del diritto all’oblio per cui ogni individuo potrà richiedere la cancellazione dei propri dati in possesso di terzi (per motivazioni legittime). Di fatto, per trasferire e cancellare tali dati, occorrerà mantenerli in maniera sicura e accessibile. I dati debbono essere trattati quindi in modo lecito, corretto e trasparente nei confronti dell’interessato. Il principio generale è che anche le finalità debbano essere determinate, esplicite e legittime. Tra gli obblighi principali, c’è l’acquisizione del consenso da parte dell’interessato, che viaggia di pari passo con l’informativa, che deve esplicitare, tra le altre cose, il periodo di conservazione dei dati personali. Il Regolamento formalizza un ampio catalogo di diritti che spettano all’interessato. Data Protection Officer: la nomina del Responsabile del trattamento dati è adempimento obbligatorio quando il titolare del trattamento: a) è autorità/organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali); b) effettua trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; c) effettua come attività principali trattamenti su larga scala di dati sensibili, genetici, biometrici, giudiziari. Il DPO ha compiti di informazione, formazione, consulenza e sorveglianza dell’adempimento della disciplina ‘privacy’. E’ anche l’interlocutore dell’autorità di controllo. Paesi Extra UE: laddove si applichi l’art. 3.2 (trattamento di dati personali relativi ad interessati che si trovano nell’UE da parte di titolare/responsabile non stabilito nell’UE), il titolare/responsabile designa per iscritto un proprio rappresentante nell’Unione. Inoltre, Il trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale, deve essere effettuato nel rispetto di specifiche condizioni affinché non sia pregiudicato il livello di protezione delle persone fisiche garantito dal Regolamento. Registro delle attività: è obbligatorio adottare il Registro se si hanno più di 250 dipendenti o se si effettui un trattamento che possa presentare un rischio per i diritti e le libertà degli interessati che non sia occasionale o che includa dati sensibili, genetici, biometrici, giudiziari.
RELATORI INTERNAZIONALI, TAVOLA ROTONDA E WORKSHOP PER LE IMPRESE
Camera di Commercio di San Marino, da sempre attenta alla problematica della formazione all’interno delle imprese, continua la serie di convegni formativi, presentando la Giornata della Privacy, che avrà luogo l’8 giugno dalle 8:30, presso il Centro Congressi Kursaal.
Tra i vari argomenti, il Convegno e i workshop dedicati, porteranno l’attenzione anche sul Regolamento (UE) 2016/679 che diverrà applicativo a partire dal maggio 2018 e che introduce importanti novità su trattamento, riservatezza e circolazione dei dati, con impatto anche sui Paesi Terzi che trattano dati di soggetti comunitari.
Durante il convegno verranno illustrati gli adempimenti normativi in Italia ed a San Marino in materia di cyber security e telecomunicazioni, imprese, pubblica amministrazione, sanità, scuola, associazioni e no profit.
“La tematica trattata è di estrema importanza nonché attualità ed il convegno che andremo a realizzare rappresenta un evento di alto valore specifico, in quanto saranno presenti relatori di grande importanza, riconosciuti sia a livello nazionale che internazionale. Camera di Commercio offrirà ai partecipanti una formazione di elevato livello, rappresentando per San Marino un’occasione unica nel suo genere”dichiara Pier Giovanni Terenzi, Presidente della Camera di Commercio di San Marino.
Il programma si divide in due fasi, la prima (le registrazioni partiranno alle 8:30) prevede una tavola rotonda moderata dal Direttore della Camera di Commercio, Massimo Ghiotti, dopo il saluto del Segretario di Stato per gli Affari Interni, Guerrino Zanotti. Alla tavola rotonda prenderanno parte: Avv. Manuel Canti (Direttore Dipartimento Funzione Pubblica), Dott. Mario De Bernart (Dirigente dell’Ufficio del Garante per la Protezione dei dati personali in Italia), Avv. Patrizia Gigante, Dott. Umberto Rapetto (vedi box a sinistra), Dott. Vincenzo Merola, Avv. Filippo Cocco, Dott. Luca Di Leo, Dott.ssa Gloria Paci, Dott.ssa Michela Ronci.
Dopo una piccola pausa, si apriranno invece i quattro workshop dedicati alle tematiche più importanti (dalle 11 alle 13). Il primo Workshop sarà dedicato a “Privacy: adempimenti previsti dalla normativa sammarinese e italiana (imprese, dipendenti, ordini professionali)”: relatori Dott. Mario De Bernart e Avv. Patrizia Gigante. Il secondo Workshop sarà su “Cyber Security e Telecomunicazioni”: relatori Dott. Umberto Rapetto, Avv. Filippo Cocco e Dott. Vincenzo Merola. Il terzo Workshop “Privacy: Pubblica Amministrazione, Sanità, Scuola”: relatore Dott. Luca Di Leo. Il quarto Workshop su “Privacy: Associazionismo e no profit”: relatori Dott.ssa Gloria Paci e Dott.ssa Michela Ronci. Alle 13 la conclusione dei lavori con tutti i relatori dei workshop.
L’evento è patrocinato da: Segreteria di Stato Affari Esteri e Giustizia, Segreteria di Stato Affari Interni, Segreteria di Stato Industria, Artigianato, Commercio, Lavoro, Cooperazione, Telecomunicazioni, Segreteria di Stato Istruzione e Cultura, Associazione Nazionale Industria San Marino, Organizzazione Sammarinese degli Imprenditori, Unione Nazionale Artigiani San Marino, Unione Sammarinese Commercianti, Unione Sammarinese Operatori del Turismo, Agenzia per lo Sviluppo Digitale, Associazione Sammarinese per l’Informatica, Professionisti per l’Innovazione Digitale.
L’evento, inoltre, è anche accreditato per la formazione dall’Ordine dei Dottori Commercialisti ed Esperti Contabili di San Marino.
RAPETTO: LA CYBER SECURITY
Anche Umberto Rapetto sarà uno dei relatori del convegno dell’8 giugno organizzato dalla Camera di Commercio di San Marino. L’ex Generale della Guardia di Finanza, è considerato uno dei maggiori esperti mondiali in tema di privacy e cyber security. Il Dott. Rapetto vanta un curriculum di primo piano, infatti oltre ad aver passato gran parte della sua carriera alla guida del Nucleo Speciale Frodi Telematiche della Guardia di Finanza, ed essere stato consigliere strategico di Franco Bernabè e poi Group Senior Vice President di Telecom Italia, è da tempo un docente universitario nelle più prestigiose università italiane, nonché apprezzato giornalista, collabora infatti con le più importanti testate giornalistiche italiane, da Il Sole 24 Ore a Il Messaggero e Il Fatto Quotidiano, e per le quali ha scritto tantissimi articoli in materia di sicurezza informatica e criminalità economica e tecnologica. Il Dott. Rapetto nel 2001 ha diretto le indagini che hanno portato alla cattura degli hacker penetrati nei sistemi informatici del Pentagono e della Nasa. Attualmente è CEO di HKAO – Human Knowledge As Opportunity, startup operante nello scenario della sicurezza dei sistemi e delle reti, della riservatezza dei dati e del controspionaggio industriale con attività di consulenza, coaching, progettazione, formazione. Durante il convegno dell’8 giugno, il Dott. Rapetto porterà la sua grande esperienza in materia, andando ad affrontare ed illustrare al pubblico l’importante tema della “Cyber Security e Telecomunicazioni” anche alla luce dei recenti episodi di criminalità tecnologica che hanno richiamato l’attenzione a livello internazionale.
