Eticamente GDPR

di | 24 March 2017
1 commento

Il 15 marzo u.s., all’interno della tre giorni di Security Summit del Clusit, si è tenuto, in una gremita sala dell’Atahotel Expo Fiera di Rho-Pero, l’incontro dal titolo “Praticamente GDPR” presentato e moderato dal Dr. Vallega a cui hanno partecipato, a titolo di relatori e nella formula della “tavola rotonda” oltre al presidente del Clusit alcuni esponenti di società rappresentative del panorama economico italiano.

https://www.securitysummit.it/agenda-details/58

Questo post non mira a ricapitolare l’evento quindi sul punto dirò solo e per sommi capi che l’incontro è stato strutturato su una presentazione iniziale e generale del Reg. UE 2016/679 a cui sono seguite testimonianze dirette dei relatori su come ed a che punto sia l’implementazione del GDPR all’interno delle relative società di appartenenza quindi, a seguire, è stato dedicato ampio spazio anche a testimonianze / domande dei partecipanti e tra queste una in particolare mi ha molto colpita.

Ecco, questo post nasce sull’abbrivio di quella domanda che potremmo riassumere così: “l’aspetto etico del GDPR ossia cosa si fa/ si potrebbe fare, all’interno delle società per dare risalto, a seguito del corretto adeguamento privacy, anche all’aspetto etico valoriale collegato al mondo della privacy”.

Si tratterebbe, quindi, non solo di recepire la normativa ma anche di darle un taglio che permetta di mettere in risalto ed in evidenza un’attenzione particolareggiata all’aspetto valoriale sottesa alla stessa.

La prima cosa che mi preme dire è che, in realtà, la norma in più parti pone attenzione a questo aspetto etico del tema, solo che spesso ci si occupa maggiormente dell’operatività e si tralasciano, invece, sia i motivi ispiratori che hanno portato all’emanazione di determinati articoli ad es. i “considerando” sia una lettura più attenta degli articoli, lettura non focalizzata solo sul “come / cosa fare” ma anche sul senso profondo dell’articolo stesso. Per spiegare meglio quanto sopra è sufficiente ad esempio e non casualmente leggere l’art. 45 Reg UE 679/2016 sul Trasferimento dati in territorio extra UE sulla base di una decisione di adeguatezza dove si legge: “Il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale è ammesso se la Commissione ha deciso che il paese terzo … o l’organizzazione internazionale … garantiscono un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche. Nel valutare l’adeguatezzala Commissione prende in considerazione … i seguenti elementi: a) lo stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, la pertinente legislazione generale e settoriale (anche in materia di sicurezza pubblica, difesa, sicurezza nazionale, diritto penale e accesso delle autorità pubbliche ai dati personali), così come l’attuazione di tale legislazione, le norme in materia di protezione dei dati, le norme professionali e le misure di sicurezza, comprese le norme per il trasferimento successivo dei dati personali verso un altro paese terzo o un’altra organizzazione internazionale osservate nel paese o dall’organizzazione internazionale in questione, la giurisprudenza nonché i diritti effettivi e azionabili degli interessati e un ricorso effettivo in sede amministrativa e giudiziaria per gli interessati i cui dati personali sono oggetto di trasferimento”

In pratica è la normativa stessa che pone primariamente attenzione al rispetto dei diritti umani e delle libertà fondamentali e per dare un risalto ancora maggiore a quanto è delineato nell’articolo si demanda direttamente alla Commissione UE sia il potere di valutazione sia successivamente l’emanazione di atti di esecuzione (cfr art 45, comma 3, Reg. UE 2016/679)

Quindi una prima modalità per dare risalto ad un aspetto etico nel lavoro di adeguamento privacy nelle società potrebbe consistere nel porre in evidenza nella propria documentazione non solo le procedure ma anche la base ispiratrice delle stesse.

Ma non solo.

In realtà un bel lavoro da fare per dare realmente un taglio etico al sistema di gestione privacy e del tutto relativo alla sola realtà aziendale di pertinenza sarebbe quello di confrontare le normative e gli standard internazionali presenti nella realtà lavorativa e relativi al tema in modo da creare un sistema unico integrato.

A tal uopo sarebbe interessante comparare quanto meno normativa privacy, modello organizzativo ex D. Lgs. 231/2001 (solo in relazione ai reati di maggiore interesse sul tema come potrebbero essere quelli contro la personalità umana) e, a mio parere, S.A. 8000 ovverosia lo standard internazionale che elenca i requisiti per un comportamento eticamente corretto delle imprese e della filiera di produzione.

Dai risultati di questa attività – ovviamente da integrarsi anche con tutto il restante richiesto dal GDPR- si potrebbe avere non solo un buon tracciamento e quindi una buona mappatura dei dati (utile anche ai fini della redazione del RPA ex art 30 Reg. UE 2016/679) ma anche e soprattutto ne deriverebbe un lavoro mirante a porre maggiormente l’accento sul tema etico e morale … da qui il passo a darne evidenza ai terzi è breve … quindi, a parere della scrivente, anche la società che s’impegnasse in un’operazione di questo tipo ne trarrebbe vantaggio e sarebbe in grado di distinguersi sul mercato!

Avv. Laura Marretta

 

Categoria: Legal framework Tag: , , , , , , , , , , , , , ,

Informazioni su laura.marretta

Avv. Laura Marretta Dopo aver conseguito la Maturità Classica presso l’Istituto Marcelline di Milano e la Laurea in Giurisprudenza presso l’Univeristà Cattolica del Sacro Cuore diventa Avvocato del Foro di Milano ed è Partner dello Studio Legale Internazionale Romolotti Marretta dal 2006. Svolge la propria attività professionale con particolare riferimento ai settori della Privacy e Data Security, Tutela del Segreto Industriale, Diritto della Moda, Energy, e Sistemi di Organizzazione Aziendale (normative UNI CEI ed ISO) nonché in ambito di Certificazioni e Marcatura CE. Svolge il ruolo di DPO presso enti associativi di rilevanza nazionale nonché per conto di società del settore industriale e dei servizi. E’ relatrice presso corsi e convegni sul territorio nazionale, con specifico riferimento ai settori della privacy e della video security. Collabora in pubblicazioni nazionali ed internazionali (www.romolottimarretta.com/pubblicazioni.html) tra le quali numerose edizioni annuali di Doing Business edito dalla World Bank Maturità Classica at Istituto Marcelline of Milan, Graduated in Law at Univeristà Cattolica del Sacro Cuore, Attorney at Law of the Milan Bar, is a Partner of Romolotti Marretta International Law Firm since 2006. Her professional activity is focused on Privacy and Data Security, Trade Secret Protection, Fashion Law, Energy Law, Enterprise Organization (UNI CEI and ISO standards), Certification and CE mark. She is DPO in associations at national level and companies of the industrial and services areas. Speaker at seminars and conferences with specific reference to privacy and videosecurity law, she is a contributor in national and international publications, included several editions of Doing Business edited by World Bank (www.romolottimarretta.com/lang2/publications.html)

Un pensiero su “Eticamente GDPR

  1. Giampaolo Franco

    Concordo pienamente! Il tema dell’etica e della responsabilità sociale delle aziende che trattano i dati delle persone viene messo in secondo piano. E’ molto difficile costruire la consapevolezza e l’etica aziendale, perché si deve lavorare sulla coscienza delle persone e non sugli aspetti tecnici ed organizzativi. Darò sostegno a questa tematica con i prossimi post!

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.