lunedì, 20 maggio 2019

Articoli

A un anno dal GDPR, installatori ancora in alto mare

02/05/2019

di Nicola Bernardi - Presidente di Federprivacy www.federprivacy.org

A circa un anno dall’entrata in vigore del GDPR, le ultime statistiche indicano che in linea generale solo un’azienda su quattro si è adeguata, e si tratta perlopiù di grandi realtà e multinazionali, mentre le PMI e le microimprese faticano ancora a conformarsi alla nuova normativa sulla protezione dei dati personali. Tra i soggetti che avrebbero dovuto attivarsi per essere in regola entro il 25 maggio 2018, una particolare nota dolente riguarda gli operatori del comparto elettrico e della sicurezza. 

Basti pensare che degli oltre 17mila utenti del sito di Federprivacy che si tengono aggiornati settimanalmente sulle novità in materia, meno dell’1% sono installatori. Il fatto che questi ultimi non mostrino ancora la dovuta presa di coscienza del Gdpr rappresenta un dato allarmante, perché ormai non solo gli impianti di videosorveglianza, ma quasi tutti i sistemi integrati utilizzano tecnologie intelligenti che per funzionare si appoggiano al web con notevoli impatti sui dati personali degli utenti finali, la cui privacy è messa seriamente a rischio.

La curiosità non basta

Anche se che con l’avvicinarsi della scadenza, lo scorso anno c’è stata una grande curiosità per il Gdpr da parte di migliaia di installatori che hanno seguito i vari convegni sui temi della data protection, a questo iniziale interesse non ha poi fatto seguito un concreto interesse ed una volontà di acquisire le competenze necessarie per adeguarsi al Regolamento europeo sulla privacy. 

Confusione a go-go

Basti pensare che - tra i 2.500 professionisti che hanno partecipato ai percorsi formativi promossi da Federprivacy - molti sono avvocati, commercialisti, ingegneri: gli installatori ed altri operatori del comparto elettrico e della security sono stati davvero pochi e questo nonostante siano stati messi a punto degli specifici corsi per i consulenti della privacy nel settore della videosorveglianza con la possibilità di ottenere anche la certificazione delle competenze con l’ente indipendente TÜV Italia. 

Purtroppo questa situazione ha generato una certa confusione, che merita delle precisazioni.

Precisazione 1 - quali figure

Per quanto riguarda le figure professionali richieste dal Gdpr, occorre precisare che, ad eccezione della figura del “Responsabile della protezione dei dati”, che è l’unica espressamente obbligatoria per pubbliche amministrazioni ed aziende che trattano dati sensibili su larga scala o che profilano gli utenti online, con l’introduzione del principio di accountability, ogni titolare del trattamento deve realizzare un proprio modello organizzativo e decidere quali figure prevedere nella propria organizzazione aziendale, e come formarle. 

Troppa imprecisione

Se a distanza di quasi un anno molti installatori non hanno ancora le idee chiare a tal proposito, la causa si trova probabilmente nella diffusa confusione ingenerata da una moltitudine di operatori della formazione e delle certificazioni che da qualche anno stanno proponendo figure professionali di ogni tipo come se fossero state introdotte dal Gdpr, quando invece non è così, e purtroppo chi ha avuto intenzione di creare un business con queste attività ha trovato terreno fertile nella scarsa preparazione degli installatori, che spesso hanno creduto a quello che gli è stato detto senza essere poi in grado di verificarne la veridicità. 

Precisazione 2 - quali certificazioni

In modo analogo, è necessario prestare attenzione al tema delle certificazioni previste dal Gdpr che riguardano la conformità allo stesso Regolamento europeo, e non le figure professionali. 

Come hanno chiarito più volte il Garante per la Privacy e la stessa Federprivacy, al riguardo è opportuno rammentare che non esistono titoli abilitanti o certificazioni obbligatorie per la figura del Responsabile della protezione dei dati, conosciuto anche come data protection officer. 

Tocca a voi

Per ciò che concerne invece le certificazioni ai sensi dell’art.42 del Regolamento europeo, i principali attori sono le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento, per cui sono proprio gli operatori elettrici (e della security) che dovrebbero sollecitare al proprio interno l’attivazione di una specifica attività propedeutica alla realizzazione di un meccanismo di certificazione a beneficio dell’intero comparto.

Precisazione 3 - responsabilità

Oltre ad una cultura della privacy che ancora manca all’appello nel comparto elettrico/della sicurezza, le maggiori criticità per gli installatori si racchiudono in due termini anglofoni del Gdpr: “accountability” e “privacy by design”. 

Accountability + privacy by design

Il primo indica il principio di responsabilizzazione che richiede al titolare del trattamento di mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, la conformità al Regolamento UE 2016/679, mentre il secondo richiede che fin dalla progettazione di un sistema che implica il trattamento di dati personali, si adottino per impostazione predefinita le misure tecniche e organizzative necessarie a garantire un adeguato livello di protezione. Entrambi i princìpi introdotti dal Gdpr non richiamano più una lista preconfezionata di misure di sicurezza da adottare o una serie di documenti da redigere, ma richiedono necessariamente professionisti preparati sulla materia con competenze che non possono essere improvvisate. 

Un consiglio

Gli installatori che non lo avessero ancora fatto devono perciò rimboccarsi le maniche e trovare il tempo e le risorse per essere dovutamente edotti, oppure avvalersi di un consulente legale di fiducia che possa dare loro la necessaria assistenza per non esporsi a pesanti sanzioni o richieste di risarcimenti per violazione della normativa sulla protezione dei dati personali.

La versione integrale dell’articolo riporta tabelle, box o figure, per visualizzarle apri il pdf allegato. 


maggiori informazioni su:
www.federprivacy.org



pagina precedente
Check APP per la videosorveglianza

Calendario Corsi 2019

Videsorveglianza Urbana Integrata

Ethos Academy

  • Grosseto, martedì 21 maggio
  • Alba (CN), martedì 4 giugno
  • Caorle (VE), martedì 18 giugno

Videosorveglianza e Privacy

Milestone Italia

  • Cinisello Balsamo (MI)
    venerdì 24 maggio

Pillole formative

Ethos Academy propone corsi propedeutici che portano alla certificazione degli operatori
Scopri la programmazione »

Rimani aggiornato sulle nuove normative