Sala “Montelupo” gremita per il convegno organizzato da ANIS sulla Legge 171 del 2018, entrata in vigore il 5 gennaio e allineata al GDPR dell’UE. Tante le domande degli imprenditori agli esperti Paci e Giuliano su organizzazione interna, sicurezza informatica e non solo, operatività e possibili sanzioni.
di Daniele Bartolucci
La Legge 21 Dicembre 2018 n. 171 sulla “Protezione delle persone fisiche con riguardo al trattamento dei dati personali” è entrata in vigore il 5 gennaio e gli effetti sull’operatività delle imprese si sono già fatti sentire. Anche per questo ANIS ha ritenuto di invitare le aziende associate ad un nuovo seminario formativo sul tema, continuando ad offrire tutto il supporto tecnico necessario per allinearsi alle nuove normative interne e, soprattutto, quelle dell’Unione Europea, il mercato di riferimento per l’economia sammarinese, come ha ricordato in apertura dei lavori il Segretario Generale William Vagnini. Perché, come ha poi spiegato il Segretario di Stato agli Interni, Guerrino Zanotti, anche San Marino si è dovuto necessariamente dotare di una propria normativa di riferimento, conseguentemente all’entrata in vigore, a fine maggio 2018, del nuovo Regolamento Europeo 2016/679, che come noto tutela i dati personali di tutti i cittadini europei, anche se questi sono trattati in Paesi al di fuori dell’UE, come è il caso di San Marino. E’ quindi una questione di fondamentale importanza, sia per evitare le possibili sanzioni e i rischi di eventuali cause con richiesta danni.
Di questo hanno parlato i due esperti invitati da ANIS, la Dott.ssa Gloriamaria Paci che da anni si occupa del trattamento dei dati personali per le aziende, e del Dott. Giuseppe Giuliano, Funzionario del Dipartimento attività ispettive e sanzioni del Garante per la protezione dei dati personali italiano (che comunque ha partecipato al convegno non in veste ufficiale, ma come esperto in materia, ha tenuto a precisare).
ADEMPIMENTI NECESSARI E SANZIONI PREVISTE
Due quindi i livelli di discussione affrontati: uno più “interno”, sia per quanto riguarda la nuova normativa e i vari adempimenti da compiere, uno più rivolto all’esterno, con un confronto puntuale tra la Regolamento Europeo 2016/679 e Legge 21 Dicembre 2018 n. 171. Tra gli adempimenti previsti, ha ricordato la Dott.ssa Paci, ce ne sono diversi da affrontare in via preliminare, come ad esempio l’individuazione del Titolare del trattamento dati e le varie nomine dei Responsabili o sub-Responsabili, “facendo molta attenzione al rapporto con i propri clienti e fornitori, perché spesso ci sono obblighi e previsioni già scritte nei vari contratti”. Anzi, ha invitato il Dott. Giuliano, “vi consiglio di riportarli espressamente in tutti i contratti, dopo un’attenta valutazione di come gestire queste dinamiche”. Tra le nomine previste c’è poi quella del Rappresentante sul territorio, “che può essere residente in uno qualsiasi dei Paesi UE, non necessariamente quello dell’impresa”, ha ricordato l’esperto italiano, “tanto è vero che c’è una corsa, oggi, di nominarli in Paesi dove l’Autorità Garante è un po’ meno rigida che altrove, anche se poi non cambierà molto nel momento in cui venissero aperti dei procedimenti, visto che ne discuteranno le due Autorità dei due Paesi. In ogni caso è un obbligo, come ci dimostra la recentissima sanzione nei confronti di Google, di circa 50 milioni di euro, per non aver nominato il proprio Rappresentante. Dopo la sanzione, per la cronaca, l’ha nominato in Irlanda”, ha spiegato il Dott. Giuliano. Su questo aspetto, uno dei primi compiti dell’Autorità Garante di San Marino sarà appunto quello di chiarire se anche le imprese di San Marino debbano obbligatoriamente nominare un proprio rappresentante o se possano interagire direttamente le Autorità dei due Paesi coinvolti.
DATA BREACH E “DANNO D’IMMAGINE”
Il Dott. Giuliano, approfondendo il tema delle sanzioni, ha però dato un avvertimento alla platea della sala Montelupo di Domagnano, con oltre un centinaio di partecipanti al convegno: “Come detto, mi occupo io stesso delle ispezioni in Italia, e vi posso dire che le sanzioni, seppure le previsioni sono molto alte – si parla di milioni di euro come avrete visto -, non dovrebbero essere la vostra maggiore preoccupazione, a livello imprenditoriale. Se infatti le pene previste sono anche molto alte, ci sono comunque ben 13 punti da tenere presenti (compresa la collaborazione offerta dalle imprese) prima di valutare la sanzione, che spesso diventa quindi molto più bassa. Il rischio che invece dovreste calcolare è quello di un eventuale danno d’immagine, che può essere assai più pesante, soprattutto su un mercato come quello odierno dove la reputazione è un valore fondamentale”. Nello specifico, ha poi spiegato la Dott.ssa Paci, “pensate solo che di fronte ad una violazione avete l’obbligo di comunicarla non solo alle autorità competenti, ma anche a tutti i contatti di cui trattate i dati, con costi importanti e un danno d’immagine non meno pesante. Di fronte a questi rischi, diventa normale pensare ai costi iniziali, che comunque ci sono per adeguarsi alla normativa e strutturare l’organizzazione interna in maniera efficace, come a degli investimenti”. Come detto, in sala moltissimi imprenditori e professionisti, che già vivono ogni giorno la complessità della materia, ma non tutti allo stesso modo: ci sono infatti grandi aziende che magari hanno pochi dati personali da trattare se non quelli del personale, piuttosto che studi commercialisti che invece ne trattano moltissimi per via, spesso, dell’elaborazione delle buste paga (e in particolare a San Marino, dove ci sono moltissimi lavoratori italiani), oppure aziende che hanno una rete commerciale estesa e con essa anche tanti dati profilati di clienti e fornitori da trattare. Anche per questo le domande ai due relatori hanno affrontato diversi aspetti della materia: si è parlato più volte della dinamica tra azienda e fornitore di serizi, quindi di quale eventuale nomina di responsabile si tratti; ma anche della sicurezza con cui si devono mantenere i dati stessi, sicurezza fisica e non solo, visto che la perdita di dati può avvenire in svariati modi, anche con il classico furto del telefonino o del tablet ai danni di un dipendente che vi ha accesso.
SICUREZZA: ACCESSI INTERNI E CATTIVE ABITUDINI
“E’ bene”, ha ricordato la Dott.ssa Paci, “che facciate un’attenta valutazione di quante persone hanno accesso ai dati, perché spesso non c’è necessità che tutti abbiano questo accesso ed è ovvio che il rischio di una violazione aumenta con il loro numero. Lo stesso dicasi dei computer e telefonini, al di là delle informazioni sulle chiamate, l’utilizzo sul web che se ne faccia o la tracciabilità con il GPS, che riguardano anche la sfera personale del lavoratore stesso e andrebbero specificate per contratto, come l’eventuale presenza di impianti di videosorveglianza nelle aziende”. Poi ci sono le cattive abitudini: “Magari si punta l’attenzione sulle cassette di sicurezza o armadi ignifughi, che comunque servono, e non ci si accorge di tutti i dati lasciati in bella mostra su scrivanie o altri luoghi ad accesso libero. La cancelleria è sempre sotto chiave”, ha ironizzato la Dott.ssa Paci, “ma magari le lettere di licenziamento o altre missive personali sono lasciate un po’ ovunque, a disposizione di qualsiasi persona che entri in azienda, con rischi enormi. Sia che si tratti di dati del personale interno, che di clienti, fornitori o altre persone che interagiscono con l’azienda. Serve quindi un cambio culturale, perché ogni azienda dovrebbe rendersi conto che anche i dati sono un valore, anzi, un vero e proprio patrimonio, che va opportunamente gestito, tutelato e protetto. Se non si riesce a valorizzarlo, basta pensare alle conseguenze che l’azienda subirebbe se dovesse perderlo”.
“LAVORO ENORME PER L’AUTORITÀ GARANTE”
Insomma, tanti adempimenti si possono già svolgere, nel frattempo, si attende la piena operatività dell’Autorità Garante, “che dovrà fare un lavoro enorme”, ha ammesso il Dott. Giuliano, “in bocca al lupo”. “Tempi abbastanza lunghi”, ha concordato la Dott.ssa Paci, “per cui nel frattempo vi invito a crearvi un metodo di lavoro per affrontare l’organizzazione interna, partendo proprio dalle responsabilità interne. Non è pensabile che una sola persona possa infatti occuparsi di tutta la materia all’interno di un’azienda e controllare tutti gli ambiti e processi”.
Insomma, di cose da fare ce ne sono parecchie, in attesa come detto, dell’Autorità Garante a pieno regime, che avrà il compito di monitorare il rispetto della legge e accompagnare l’intero sistema vero il pieno adeguamento con il Regolamento Europeo, un obiettivo fondamentale per San Marino.
