Privacy: la legislazione, le imprese, la P.A. e la formazione in Italia – Intervista a Maria Concetta De Vivo

L’attuazione delle normative sulla Privacy nel nostro Paese, vede una situazione eterogenea nei confronti della sensibilità delle imprese nell’applicazione di questa normativa. Ma anche qui vi sono esempi di eccellenza che attraverso la loro case history possono contribuire alla consapevolezza di come l’osservanza della Privacy, ed in generale della Responsabilità Sociale, possa divenire la propria forza per la penetrazione del mercato. Vedere Intervista Ing. Broggi – Gruppo Pellegrini >> .

Sul quadro generale pubblichiamo la testimonianza della Prof.ssa Maria Concetta De Vivo, una delle ricercatrici e docenti italiane maggiormente impegnate su Formazione e Divulgazione del Diritto Informatico e di tutte le sue forme di comunicazione, che descrive come la normativa sia contemplata nei vari settori.

Prof.ssa Maria Concetta De Vivo Ricercatrice e Docente in Diritto delle nuove tecnologie Università di Camerino PROFILO   |     PUBBLICAZIONI Contatto Facebook ——————

Professoressa De Vivo, cosa ne pensa dell’applicazione della Privacy da parte delle aziende e degli enti pubblici in Italia, e dei bisogni formativi specifici?

A mio parere il quadro normativo in tema di privacy è sufficientemente delineato. Certamente non è perfetto. Tuttavia, da questa sfida con le nuove tecnologie, Il diritto sembra uscirne dignitosamente, nonostante faccia fatica a seguirne la frenetica evoluzione. Ciò premesso, bisogna fare i conti con il contesto in cui la privacy si muove. Si nota subito la differenza tra il pubblico ed il privato.

La Pubblica amministrazione è molto preparata nel campo della privacy. La sua è una necessità che deriva da obblighi di legge molto chiari. Occorre, tuttavia, segnalare una strana contraddizione. Infatti, pur riconoscendo una assodata competenza da parte delle varie realtà pubbliche, ad essa non sembra corrispondere una concretezza nel “fare”. Nel senso che, nonostante le PA siano pronte e più che formate nel campo della privacy e del trattamento dei dati, in concreto, faticano a collaborare fra loro per concretizzare i vari progetti in campo.

Lo stesso CAD (Codice dell’amministrazione digitale) con le sue innovative (all’epoca) proposte di informatizzazione, non è riuscito appieno nel suo intento, nonostante siano trascorsi ben tredici anni dalla sua emanazione. Pertanto, se da un lato continuano gli interventi del legislatore per stimolare le attività concrete nel campo, dall’altro lato si avverte la sofferenza della PA a condividere i dati, a unificare i servizi e, dunque, a produrre risultati nell’intento di favorire le esigenze del cittadino.

Per quanto riguarda le aziende “private”, il discorso è leggermente (ma sostanzialmente) diverso. Qui siamo in un contesto che vede gli imprenditori (soprattutto piccoli e medi imprenditori che sono la forza e la ricchezza del nostro territorio) molto attenti al discorso della privacy e del trattamento dati. Attenti ma anche, a mio avviso, frastornati ed aggiungerei demotivati, proprio dai continui interventi normativi che si susseguono in materia. Il nostro legislatore è spinto da intenti encomiabili (facilitare al massimo le operazioni inerenti la gestione dei dati da parte delle PMI) ma eccessivi.

La estrema difficoltà che sta vivendo il nuovo fenomeno del cloud computing, dimostra questa perplessità da parte dei nostri imprenditori. Infatti, pur essendo, il cloud, una realtà che si rivelerà sicuramente vincente, soprattutto per le piccole aziende che potranno utilizzare una potenza di elaborazione illimitata a costi decisamente contenuti a tutto vantaggio della propria attività, restano forti le riserve da parte degli imprenditori di fronte a questo fenomeno. Perplessità dovute ad una naturale diffidenza per quanto attiene alla sicurezza dei dati, nonostante sia emerso che il cloud computing fa bene oltre che alle tasche degli imprenditori, anche al lavoro (sono previsti 300mila nuovi business e da 300mila al milione di nuovi posti di lavoro entro 5 anni) ed all’ambiente (65% di risparmio energetico per le aziende che lo adotteranno).

Cosa fare, allora, di fronte a questa sostanziale diffidenza? Lo stesso Regolamento europeo sulla privacy che dovrebbe (il condizionale è d’obbligo) entrare in vigore nel 2014, prevede figure professionali di questo tipo (il famoso privacy officer ne è un esempio) che andranno ad operare “nelle” aziende o che svolgeranno la loro attività “per” le aziende. In questa delicata fase della “educazione”, un ruolo importante potrebbe essere svolto dalle Università. Soprattutto laddove esistono Facoltà (ora sono definite “Scuole”, utilizzando il gergo anglosassone) che formano operatori e professionisti del settore, come gli informatici.

Oltre alle normative ed alle attività di supporto c’è il nostro Garante per la privacy che è particolarmente attivo in tal senso ed ha prodotto numerose “direttive” in merito. Fra la documentazione prodotta si citano: il Vademecum del Garante della Privacy (2012) emanato per regolamentare il fenomeno Cloud, in cui viene ribadita l’attivazione di corsi di formazione rivolti al personale addetto al patrimonio informatico¹.

Più di recente è stato emanato (sempre dal nostro Garante) un Vademecum Privacy per le imprese², in cui si parla del valore dei dati, e del fatto che una corretta adozione delle misure a tutela dei dati può contribuire a rendere più efficiente l’ organizzazione della stessa impresa riducendone i rischi. Questo Vademecum è rivolto ad una tipologia di impresa nuova, attenta al proprio business ma con lo sguardo rivolto anche a stimolare la fiducia dei propri utenti, promuovendo una propria immagine di serietà ed affidabilità. Un’azienda in cui la ripartizione dei compiti e delle relative responsabilità siano chiare, in cui le figure del titolare e del responsabile del trattamento siano ben delineate, così come il ruolo degli altri soggetti coinvolti nel trattamento. Una azienda in cui ci sia trasparenza e correttezza nel business, in cui l’informativa sia soprattutto semplice ed intuibile. Nel documento vengono indicate, inoltre, le regole da seguire per il trattamento dei curricula, nella delicata fase della selezione del personale; per i trattamenti “a rischio”; per l’utilizzo corretto delle tecnologie nell’ambito delle aziende; per la difesa del patrimonio dei dati attraverso l’adozione delle misure minime di sicurezza; per le varie fasi di controllo sui soggetti preposti al trattamento dei dati; per una adeguata protezione anche nella delicata fase dell’export dei dati.

Inoltre, a metà luglio sono stati pubblicati sulla Gazzetta Ufficiale³ provvedimento e Linee guida in materia di attività promozionale e contrasto allo spam⁵ del Garante della Privacy, inerenti l’acquisizione del consenso al trattamento dei dati personali.  Due provvedimenti che interessano le aziende che gestiscono attività promozionali o di vendita mediante operatore, messaggi automatici, SMS, e-mail, siti Web, Social network (una particolare attenzione in tal senso è posta dal Garante su quelle che vengono definite “le nuove frontiere dello spamming “ e del marketing che è possibile effettuare attraverso i social network), nonché i professionisti che lavorano con queste aziende⁶.

Insomma è tutto pronto. La volontà di andare avanti c’è da parte di tutti: legislatore, cittadini, imprese, PA, Università, professionisti … forse manca “quel po’ di coraggio” per muovere i primi passi, con tutti i rischi connessi. Non so a chi possa essere imputata questa immobilità forzata, ma, almeno per questa volta, non credo sia da ricondurre al diritto.

1^http://www.garanteprivacy.it/documents/10160/2052659/CLOUD+COMPUTING+-+Proteggere+i+dati+per+non+cadere+dalle+nuvole+-+sing.pdf