Intervista al Professor Ingegnere Pasquale Natale sulla sicurezza e il trattamento dei dati personali

155

Il professor ingegnere Pasquale Natale, già docente di Sicurezza sui luoghi di Lavoro ed Economia ed Estimo (Università telematica Pegaso e supplente Federico II per Sicurezza sui luoghi di lavoro), si occupa di consulenza aziendale dal 2005.

Vanta collaborazioni con enti e aziende di livello nazionale e internazionale e collabora con diversi istituti e centri di ricerca in Campania. Nel 2016 è stato nominato A.d. della PSB Consulting, azienda che si occupa di consulenza tecnica per le aziende.

È proprio per PSB che si occupa delle tematiche inerenti la Sicurezza e il trattamento dei dati.

Come valuta professore, la nascita di un regolamento internazionale  per la protezione dei dati? 

Non è la prima volta che l’Unione Europea sollecita gli stati membri, e non è la prima volta che le indicazioni in materia di tutela dei dati sono affrontate a livello sovranazionale. Singolare è la scelta dello strumento del regolamento che, di fatto, è un atto legislativo vincolante che deve essere applicato in tutti i suoi elementi nell’intera Unione Europea.

Ventuno anni fa, fu proprio una direttiva della UE a spingere la Commissione Giustizia a emanare quella che sarebbe diventata la legge 675/96, così come la Suprema Corte di Cassazione a istituire l’istituto del Garante della Privacy. Da qui in poi il trattamento dei dati personali è divenuto un argomento trattato in diversi contesti istituzionali, fino ad arrivare a pronunciamenti della Cassazione riguardo la tutela dei dati.

Per esempio per quel che concerne il processo telematico.

Quali sono le novità più importanti rispetto alla vecchia normativa? 

Innanzitutto la “vecchia normativa”, se intendiamo con essa il Codice della privacy (ovvero il D.Lgs. 196/2003) non è di fatto stata abrogata, e per una questione squisitamente gerarchica, la stessa è tutt’ora in vigore e lo sarà fintanto che una legge dello Stato non recepisca il Regolamento 2016/679 e ne disciplini l’applicazione e l’impianto sanzionatorio. La vera novità introdotta dal Regolamento è comunque la “nobilitazione” dei dati personali, e non soltanto i dati sensibili, al rango di bene giuridico: ciò comporta l’applicazione dei codici di diritto pubblico e privato relativamente alla tutela dei beni.

Se vogliamo è questa la vera innovazione del Regolamento aldilà dell’impianto sanzionatorio e gestionale che deriva dalla sua applicazione. Basti pensare che il “dato”, essendo un bene personale, deve essere garantito dal rischio di utilizzo improprio, furto, danneggiamento o perdita, non può essere ceduto o trasferito per scopi non autorizzati dal proprietario a terzi; altresì il proprietario del bene, qualora scegliesse di revocare la concessione dell’uso dei sui dati al titolare di una data azienda con l’intenzione di trasferire tale concessione ad altro, dovrà essere garantito sulla “portabilità” completa delle proprie informazioni e la cancellazione da qualsiasi banca dati del precedente titolare. Un esempio: se un utente passa da gestore di telefonia X ad altro gestore Y, il gestore X dovrà garantire il completo trasferimento dei dati, in questo caso anche eventuali rubriche, mail, conversazioni sms o altri dati afferenti al proprietario dei dati, al nuovo gestore Y.

Inoltre è garantito il cosiddetto “diritto all’oblio”, ovvero la garanzia di cancellazione di qualunque dato conservato in archivio del concessionario, che siano informazioni o anche foto, video o altri supporti, da qualsiasi data base appartenente allo stesso.

Quali sono le figure professionali che emergeranno e quali i loro compiti? 

Appare chiaro da quanto detto finora, che il dato rappresenta un bene e che per garantirne la sicurezza non è più sufficiente un impianto di gestione e controllo limitato a un uso, per così dire, “locale”. Il D.Lgs. 196/03 aveva lo scopo di preservare la privacy di un soggetto che, per varie ragioni, era stato profilita da una certa azienda che ne aveva raccolto anche dati definiti sensibili.

Ma tutelare un soggetto, per esempio, rispetto alle proprie inclinazioni sessuali, per una azienda con un data base di tipo chiuso (come un archivio cartaceo) era abbastanza semplice, definendo all’interno dell’azienda compiti di responsabilità legate al trattamento dei dati. Ecco, il concetto di mercato in cui il “dato” è merce di scambio, non consente più alle aziende che si aprono al web di poter gestire in maniera semplicistica tali informazioni.

Vale al pena di ribadire che il Titolare del trattamento, figura che coincide con il legale rappresentante di una azienda, ed il Responsabile, già note nella letteratura della giurisprudenza italiana, rimangono ancora in auge ma qui il legislatore europeo interviene: il titolare potrà delegare a un professionista o una azienda alcuni compiti, come quello di progettare e garantire la sicurezza del trattamento dei dati.

A questo punto si apre uno scenario di futuribili figure che vadano a intercettare bisogni specifici di settori pubblici o privati, a garanzia di parte dei processi di gestione dei dati. Di certo il Regolamento introduce il DPO, Data Protection Officier, quale nuovo paradigma professionale, ed è una ulteriore e importante novità.

Quale dovrà essere il tipo di formazione del Dpo o Responsabile della protezione dati? 

Al momento, il Regolamento suggerisce dei requisiti esperienziali e professionali che non si incastonano in nessuna qualifica presente nei vari repertori regionali o nazionali. Probabilmente il ritardo che hanno avuto il governo e gli enti locali a recepire il regolamento si ripercuote anche su una materia fondamentale quale la qualificazione delle figure professionali.

Pur avendo indirizzi da parte degli enti normatori nazionali e internazionali per uniformare le figure introdotte dal regolamento ad altre presenti in sistemi di gestione già in essere (basti pensare alla UNI/EN ISO 104559 per la gestione informatica), a oggi non abbiamo nessuna indicazione per garantire la formazione dei futuri DPO.

Di certo, ciò emerge da una lettura del Regolamento, lo stesso dovrà avere una conoscenza di diritto pubblico, pur non avendone una indicazione sul livello di approfondimento. Quel che è sicuro è che alcune autorità si stanno già attrezzando e si attrezzeranno, promuovendo corsi di formazione dei DPO.

In quali modalità e con quali obiettivi si svolgerà quella che viene chiamata “valutazione di impatto”?

Il Regolamento sposa l’idea introdotta dalla ISO 9001:2015, cioè di valutare le criticità del sistema attraverso un approccio basato sul rischio. Il Regolamento, però, obbliga al DPIA (Data Protection Impact Assessment) solo alcune categorie di aziende, relativamente alla esposizione “naturale” che queste hanno rispetto alla sicurezza dei dati. Il DPIA è una procedura che permette al titolare di realizzare e dimostrare la conformità del trattamento alle norme e si risolverà, crediamo, in documento di garanzia a cui nessuna azienda, se pur non obbligata, si sottrarrà, pur di vedersi riconosciuta una buona prassi, che diventa elemento probatorio così come previsto dagli articoli 23-25 del Regolamento e che promuove l’adozione di comportamenti proattivi, tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.

Il Garante della Privacy ha proposto delle linee guida per una valutazione di impatto che vada incontro agli obblighi dettati, però al momento, senza una norma di raccordo, possiamo solo creare modelli efficaci per gestire e garantire la sicurezza dei dati; ma senza un riconoscimento da parte delle istituzioni. Siamo certi, però, che da qui a maggio 2018, quando il regolamento dovrà obbligatoriamente essere applicato, avremo altri strumenti per poter eseguire una valutazione oggettiva, così come è avvenuto per la Sicurezza sui luoghi di lavoro.