Fra gli interventi al convegno sul GDPR tenuto al Polimi il 17/1(di cui ho riferito QUI), ho trovato particolarmente illuminante quello di Sergio Fumagalli (Coordinator di Europrivacy), dedicato all’impatto del GDPR sulle PMI. Il ragionamento ha preso le mosse dalla necessità di contestualizzare l’applicazione della normativa al “paese reale”, che in Italia è costituito da oltre 4 milioni di imprese, delle quali il 90% ha meno di 9 addetti e solo l’1% ha più di 50 addetti. Pensare ad una Data Protection adatta solo alle grandi imprese significherebbe quindi, almeno in Italia, lasciar fuori la quasi totalità del tessuto produttivo. E se qualcuno pensa che in fondo questo potrebbe non essere un problema (in fondo è sempre stato così e lo è anche per altri ambiti normativi…) bisogna aver bene presente che la sicurezza dei dati non è un tema che può essere trattato a compartimenti stagni ma che invece funziona per vasi comunicanti. La case history presentata (la violazione dei dati del grande retailer americano Target, avvenuta attraverso l’attacco ad un suo piccolo fornitore regionale) dimostra che il problema della sicurezza dei dati non è delle singole aziende ma è di sistema e non può essere approcciato singolarmente dalle aziende pensando di poter ignorare le interrelazioni con il contesto.
La vulnerabilità delle PMI rende quindi pervasive le minacce, attraverso la complessità delle catene di fornitura e il ricorso ai servizi cloud, che fanno in modo che i dati aziendali siano ovunque. Le imprese si trovano allora fra il martello (proteggere i dati è complesso e molto oneroso) e l’incudine (non proteggere i dati è molto rischioso, sia per la possibilità di sottrazione che per l’incombenza delle sanzioni). L’adozione di strumenti sofisticati come la PIA comporta il pre-requisito di una cultura organizzativa aziendale spesso assente, più difficile da procurare di quanto lo sia reperire i finanziamenti necessari per coprire i costi di implementazione delle misure.
Per avere speranza di essere applicabile, la Privacy deve quindi offrire al mercato soluzioni “sostenibili ed efficaci”. In questa direzione Fumagalli ha identificato nel GDPR due strumenti che potrebbero prestarsi allo scopo: i Codici di Condotta ed il ricorso ad un DPO Condiviso.
Per i CODICI DI CONDOTTA lo schema di adozione prevede passaggi successivi in carico alle Associazioni di Categoria (che redigono i codici), al Garante (che li approva) ed alle aziende/enti (che aderiscono). E’ contemplato anche il ruolo degli Enti di Certificazione (che verificano l’applicazione). Particolarmente importante nella fase iniziale il ruolo delle Associazioni, storicamente rilevanti nello scenario economico italiano estremamente frammentato, ma che stanno conoscendo una crisi di rappresentanza in questa epoca caratterizzata dalla disintermediazione. Essere capaci di proporre ai propri associati la semplificazione attraverso i Codici potrebbe rappresentare per loro una opportunità di recupero di protagonismo.
E’ probabile che i Codici di Condotta saranno prevalentemente “verticali”, legati cioè specificamente ad un mercato o ad una tipologia produttiva come prevede lo stesso GDPR all’art. 40 (che istituisce i Codici): “in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese”. Possibili esempi sono le agenzie assicurative distribuite sul territorio, che presentano omogeneità nelle tipologie di trattamento e nei rapporti con la casa-madre, oppure le agenzie di piccole banche. [NdR: non mi sentirei peraltro di escludere la validità e l’efficacia di Codici “orizzontali”, come quello sulle clausole Privacy da inserire nei contratti Cloud, che potrebbe emergere dai lavori in corso in ambito CSA e che ambirebbe ad essere riconosciuto a livello europeo].
Cosa ci potrà essere dentro il perimetro dei Codici di Condotta? “praticamente TUTTO”. Saranno documenti concreti, che conterranno istruzioni mirate e potranno costituire anche un’opportunità per ricevere l’attenzione del Garante su istanze altrimenti polverizzate. L’interesse del Titolare all’adesione starà nel costo (che sarà condiviso), nel beneficio in termini di qualità (che la singola PMI non sarebbe in grado di esprimere) e di riduzione del rischio delle sanzioni.
Dopo aver ridotto la complessità degli adempimenti attraverso l’adozione dei Codici di Condotta, entra in gioco un ruolo fondamentale per l’applicazione e dei Codici: il DPO CONDIVISO fra PMI. Il paragrafo 4 dell’art. 37 del GDPR prevede che, nei casi in cui NON è obbligatorio nominare un DPO, un Titolare o “associazioni e altri organismi rappresentanti le categorie di titolari” possono nominare un DPO, che potrà “agire per dette associazioni e altri organismi rappresentanti i titolari o i responsabili”: insomma, da onere ad opportunità.
Anche in questo passaggio dovranno giocare un ruolo fondamentale le Associazioni di Categoria, possibilmente le stesse che avranno promosso i Codici di Condotta e che incentiveranno i propri associati ad aderire ai codici ed alla nomina condivisa di un DPO per rendere efficace la loro applicazione.
In conclusione: l’adozione di queste due buone pratiche potrebbe aprire alla Protezione Dati una dimensione di mercato pari ad 1 milione di imprese ed alleviare il problema della mancanza di Sicurezza generata dall’inerzia forzata dei piccoli soggetti. [NdR: analogo ragionamento potrebbe essere esteso alla PA per quanto attiene ai piccoli comuni, per i quali peraltro vige l’obbligo di nomina del DPO]. Il relatore stesso ha riconosciuto che con ogni probabilità il legislatore non aveva esattamente in mente il ricorso combinato a questi due strumenti con finalità di avvicinamento delle PMI ad un mondo altrimenti per loro distante; tuttavia agli sforzi del legislatore (giunti a conclusione dopo un iter lungo e faticoso) deve seguire l’impegno della società civile nelle sue diverse articolazioni, per dare concretezza al dettato normativo. E’ la direzione in cui si muove questa proposta, che speriamo possa avere nei prossimi mesi diffusione e generare un dibattito che conduca ad un riscontro da parte degli interessati.
qui le slide dell’intervento di Fumagalli al convegno GDPR del Polimi (account slideshare di europrivacy)
https://www.slideshare.net/EuroprivacyDataProtection/5-sergio-fumagalli-il-gdpr-e-le-pmi-i-codici-di-condotta-convegno-17-01-17-72237865