Privacy & dintorni: Intervista ad Adriano Bertolino, il nostro Data Protection Officer
- 30 Marzo 2023
- Elena Federici
L’impegno di WIB nel portare sul mercato soluzioni pensate per migliorare la vita delle persone con l’impiego degli smart locker richiede un costante impegno su più fronti, da quello logistico allo sviluppo del software, passando per molte altre attività.
Alcune di queste attenzioni sono però trasversali, come ad esempio quelle dedicate a privacy e sicurezza, due temi inevitabilmente interconnessi tra loro.
Da diversi anni il nostro referente sul tema privacy – e anche Data Protection Officer – è Adriano Bertolino, che da ormai un ventennio si occupa di questo tema come consulente, formatore e divulgatore.
Abbiamo approfittato di un momento insieme per porgli qualche domanda, che condividiamo con piacere insieme alle sue risposte.
Adriano, grazie per la tua disponibilità a questa intervista, partiamo dal tuo percorso: come ti sei appassionato al tema Privacy, al punto da farlo diventare il tuo lavoro?
Da giovane sono sempre stato appassionato di informatica e di sicurezza dei dati. Quando è stata introdotta la Legge 675/96, cioè la prima norma italiana che si occupava di proteggere i dati personali richiedendo a qualsiasi ente o impresa che trattasse tali dati di adempiere a quanto previsto, ho avuto un’illuminazione: perché non unire tutte le mie competenze in un’unica professione? E così ho approfondito sempre più il tema privacy e riunito gli studi di management d’impresa, le competenze informatiche e gli approfondimenti giuridici in quella che oggi è divenuta una professione stimolante e riconosciuta a livello internazionale: il Data Protection Officer.
Cosa vuol dire “proteggere la privacy” oggi?
Nel significato più diffuso e comune dell’espressione significa non diffondere le informazioni personali di una persona, ma in realtà è molto di più.
Infatti la “privacy”, così come normata, risponde all’esigenza di proteggere tre interessi principali, che corrispondono anche alle principali aree di rischio: in primis troviamo certamente la tutela del diritto alla “riservatezza”, ma a questo si aggiungono anche la garanzia dell’integrità” dei dati e quella della loro “disponibilità”. Al fine poi di rafforzare queste tutele, il nuovo Regolamento UE 2016/675 richiede alle aziende la resilienza dei sistemi e dei processi con i quali trattano i dati.
La privacy è un tema trasversale per ogni azienda, in quanto l’attraversa quasi tutti i processi aziendali che comportano l’uso, per qualsiasi fine, di dati identificativi di persone, anche in modo indiretto: la sua tutela è quindi un lavoro sicuramente impegnativo, ma oltre al rispetto della norma consente anche una mappatura approfondita dell’impresa stessa e una sua più efficiente organizzazione, senza dimenticare che il pieno rispetto delle regole permette di migliorare la reputazione del brand, a vantaggio della conversazione con tutti gli stakeholder.
Tu sei il nostro Data Protection Officer, più comunemente detto DPO: di che cosa si occupano le persone con il tuo ruolo?
I compiti del DPO sono disciplinati all’art. 39 del GDPR: in sintesi, ha il compito di fornire supporto a tutta l’azienda, quindi sia titolari che dipendenti, sugli obblighi derivanti dal Regolamento; deve inoltre sorvegliare la corretta applicazione della norma sulla protezione dei dati personali, cioè assicurarsi che vengano tutelati i diritti degli interessati; infine, ha il compito di diffondere la cultura della protezione dei dati personali in azienda.
Per fare tutto questo il DPO affianca l’azienda, esattamente come faccio io con WIB, indicando trattamenti potenzialmente illeciti e suggerendo le modalità più opportune per garantire il pieno rispetto delle norme sulla privacy: dalla piena collaborazione tra DPO e azienda, come nel nostro caso, nasce un’esperienza di valore per le persone di cui vengono tutelati i diritti, per l’azienda stessa ma anche per il DPO, che ha l’ambizione di costruire valore insieme alle realtà con cui collabora.
Molte persone vivono gli aspetti formali legati alla tutela della privacy come “burocrazia di cui si potrebbe fare a meno”: perché, come ci dici spesso, non è così?
In effetti ogni norma cogente è comunemente percepita come un inutile e pesante obbligo, ma tale obbligo consente di regolare oltre che i doveri anche i diritti di ognuno: in particolare, la “privacy” va intesa non solo come strumento di tutela dei diritti degli interessati ma soprattutto come metodologia per la protezione dei dati personali presenti in azienda.
L’asset delle informazioni personali è, a mio parere, una componente estremamente importante per ogni impresa, alla quale va dedicata la massima attenzione e protezione. Immaginiamo se al mattino arrivando in ufficio o accendendo il laptop, non trovassimo alcun dato personale; il business si fermerebbe e non potremmo “produrre” e fatturare alcunché. In breve si diffonderebbe il panico in azienda, talvolta addirittura paralizzandola.
Inoltre, l’osservanza delle norme sulla privacy consente all’azienda di differenziarsi sul mercato quale attore rispettoso delle regole ed attento alla protezione delle informazioni che le sono state affidate, tutelando l’azienda da possibili sanzioni – anche molto importanti – in caso di controlli da parte dell’Autorità e, come già dicevo, permettendo di migliorare la reputazione del brand.
Quali sono le sfide sul fronte della privacy negli anni a venire?
In un mondo globalizzato e sempre più digitalizzato, tra servizi sempre più esternalizzati sul cloud, aumento dell’attenzione sui temi della cybersicurezza, il diffondersi di soluzioni basate sull’intelligenza artificiale e l’espandersi del metaverso, l’attenzione dei legislatori si sta spostando sempre di più anche sulla tutela dell’identità digitale delle persone, oltre che su quella fisica, in un approccio che non può che essere a 360°.
Mi piace ricordare che, a seguito della entrata in vigore del GDPR in Europa, in più di cento Stati di tutto il mondo, i governi si sono prodigati per scrivere e approvare nel loro Paese leggi sulla protezione dei dati personali, ricalcando i principi disciplinati dal Regolamento Europeo. Quindi immagino che, in un futuro non molto lontano, la gestione della tutela dei dati dell’interessato configurerà una funzione fondamentale per ogni azienda, dalle più piccole alle multinazionali: non soltanto un obbligo di legge ma un vero e proprio strumento di traino del business.
Del resto si parla già, al Parlamento Europeo e nelle community di settore, di cercare e trovare regole sulla monetizzazione dei dati personali, quali strumento di pagamento per alcuni servizi digitali.
Che risorse consigli di approfondire ad una persona che desidera avvicinarsi al tema privacy, magari anche per farne una professione?
Il consiglio principale che dò a chiunque è quello di considerare la privacy quale diritto fondamentale di ogni individuo come già disciplinato dalla Convenzione Europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (CEDU), in particolare dalla Convenzione 108+, che crea uno spazio giuridico comune e globale per la privacy e la protezione dei dati personali. Soprattutto, è fondamentale considerare i dati personali da tutti i punti di vista e non soltanto pensando agli interessi dell’impresa. Proviamo a metterci nei panni degli altri e riflettere come vorremmo che fossero tutelati i nostri dati personali.
In merito alle risorse di lettura, la principale fonte che consiglio è la consultazione del sito del Garante italiano per la privacy e il sito dell’European Data Protection Board a livello comunitario. Questi siti forniscono già molti chiarimenti e elementi importanti per comprendere il tema della privacy.
Nel caso se ne voglia fare una professione, consiglio di seguire un corso di almeno 80 ore ed eventualmente, conseguire la certificazione quale Responsabile della protezione dei dati personali (DPO) ai sensi della norma UNI 11697:2017. In ultimo, ma non meno importante, consiglio di partecipare ad associazioni di categoria di rilievo nazionale ed europeo, come ad esempio ASSODPO, con sede a Milano.
Ringraziamo Adriano Bertolino per aver condiviso con noi alcuni significativi spunti su quella che per lui è una vera e propria passione e non solo un mestiere: la protezione dei dati personali.
Per saperne di più Adriano è disponibile ad essere contattato tramite e-mail all’indirizzo info@adrianobertolino.it oppure contattandolo su Linkedin.