1 64 Table of Contents 66 86

FN_96

SETTEMBRE 2018 FIELDBUS & NETWORKS 65 Oppure fino al 4% del fatturato in altre situazioni, come l’inosservanza di un ordine imposto da un’autorità, o il trasferimento illecito di dati perso- nali a un destinatario in un Paese terzo. Rimangono dei margini interpre- tativi lasciati alle singole autorità nazionali per stabilire l’entità e la gravità delle violazioni. La voce ai nostri ospiti Per approfondire ulteriormente il tema abbiamo posto alcuni quesiti ai nostri due ospiti, Daniela Lena , re- sponsabile compliance di TAS Group ( www.tasgroup. it ), e Alessio Galli , internal controls&risk manager di Bosch Rexroth ( www.boschrexroth.com/it ) . Cosa si intende, in generale, per data protection e in che modo si collega al tema della difesa della proprietà intellettuale/industriale? Alessio Galli: “Data protection è l’insieme delle strut- ture e dei comportamenti/attività che un soggetto pone a difesa dei dati di cui dispone. Le strutture sono gli oggetti, materiali o immateriali, cui ci affidiamo per la sicurezza dei nostri dati: strutture informatiche (firewall, antivirus, antispam ecc.), strutture fisiche (controllo degli accessi al sito, adeguatezza degli archivi in termini di accessibilità, videosorveglianza ecc.). Le attività at- tengono invece alla sfera comportamentale andando a influenzare il modus operandi di collaboratori e fornitori. Parliamo in particolare di formazione e informazione in merito ai comportamenti da tenere online e fisicamente sul posto di lavoro a supporto e difesa delle strutture impiantate. Comportamenti e strutture sono due facce di una stessa medaglia: non serve a nulla un buon luc- chetto (struttura), se non ci ricordiamo di assicurarlo e chiuderlo quando ci allontaniamo (comportamento), così è inutile usare ogni genere di accortezza nel chiu- dere una serratura, se la stessa non garantisce una re- sistenza adeguata al bene che protegge. Avendo sempre presente che il mondo attuale, con tutta la sua fitta rete di connessioni informatiche veloci e poco costose, vede proprio nell’elemento umano - il comporta- mento - l’anello debole da forzare per vincere la protezione offerta dalla catena di strutture e attività. Per un’azienda, oggi, i dati sono, con ogni probabilità, uno degli asset più rilevanti: per questo quanto più è salda la catena che pone a protezione del proprio ‘tesoro’, quanto più stabile e sicuro sarà il suo business. In questo contesto, proprietà intellettuale e industriale sono due categorie di dati particolarmente rilevanti, la cui protezione viene offerta a due livelli, ovvero un primo livello di data se- curity/data protection cui ci si affida per evitare che le informazioni arri- vino a soggetti cui non erano destinate; un secondo livello che interviene quando i dati, pure protetti, escono e ci si deve affidare alle normative in tema di brevetti e proprietà intellettuale in genere, per ottenere giuridi- camente ristoro del danno subito”. Quali sono oggi le esigenze del mercato in termini di data pro- tection e supporto alla difesa della proprietà intellettuale? Galli: “Nel mondo connesso il semplice isolamento non può essere un’opzione perseguibile. Non essere presenti in rete, equivale a non esistere tout court. Il mercato ha bisogno di connessioni sicure lungo le quali fare circolare dati e di autorità che vigilino su questi spostamenti, favorendo la correttezza delle transazioni e dei comportamenti e san- zionando rapidamente e in modo certo tutte le pratiche illegali poste in essere dai player più indisciplinati. In questo contesto, il quadro delle norme a contorno deve essere quanto più possibile definito e condiviso: il Gdpr sembrerebbe un passo piuttosto rilevante in questo senso”. Come funziona il regolamento europeo (Gdpr) entrato in vigore lo scorso maggio? Galli: “Il Gdpr prende il posto della normativa nazionale negli ambiti di cui si occupa direttamente, senza necessità di ulteriori attività da parte degli stati nazionali, lasciando in vigore quella pre-esistente per quegli argomenti, per esempio la salute, che il legislatore sovran- nazionale non ha ritenuto opportuno normare. Di fatto, sta- bilisce una serie di obblighi in capo a soggetti che, come le aziende, si trovino nella necessità di gestire ampie moli di dati relativi a persone per portare avanti le proprie attività. Il focus della norma sono quei dati che, vigente il vecchio Codice della Privacy, si definivano ‘sensibili’, cioè capaci di caratterizzare la persona rispetto ai suoi aspetti più intimi: fede (religiosa o politica), orientamento sessuale, stato di salute ecc. Il Gdpr recepisce alcune pratiche che erano già obbligatorie, magari con sfumature diverse, in altri ordi- namenti (come il Registro dei Trattamenti e il DPO di deri- vazione tedesca/francese), sancisce alcuni diritti (all’oblio per esempio) in modo finalmente incontestabile, e impone sanzioni le cui proporzioni sono decisamente più rilevanti che nel passato (in particolare il sistema sanzionatorio per le società che siano parte di un gruppo pare piuttosto se- vero, se si considera che le sanzioni pecuniarie sono cal- colate sul fatturato dell’intera compagine e non della sola società che fosse trovata in difetto)”. Daniela Lena: “Il Gdpr nasce dall’esigenza di armoniz- zare e rafforzare la protezione dei dati personali all’interno dell’Unione Europea, garantendo una maggiore sicurezza dei cittadini europei rispetto alla tutela dei loro dati. Tra gli aspetti fondamentali di questo regolamento vi è il principio di accountability, che porta a responsabilizzare fortemente le organizzazioni, richiedendo un approccio che va ben oltre la mera adempienza di requisiti. Gli effetti delle inadempienze al Gdpr possono essere anche molto severi, dato che le sanzioni possono arrivare dal 2% al 4% del fatturato mondiale annuo dell’azienda in difetto. Inoltre, il Gdpr pone al centro l’interessato (la persona fisica cui si riferiscono i dati personali), garan- tendogli alcuni specifici diritti, tra i quali, per esempio, quello di accesso (poter richiedere quali sono i dati trattati e per quale finalità, a chi sono comunicati e per quanto tempo sono conservati), quello all’oblio (can- cellazione dei dati personali), la portabilità (poter ricevere i propri dati in un formato strutturato e utilizzabile, o trasferirli da un titolare a un altro). Data la portata e il campo di applicazione del Gdpr, anche le banche sono fortemente coinvolte, dovendosi muovere all’interno di un quadro normativo sempre più complesso. Il settore finanziario già im- pone stringenti requisiti sul trattamento dei dati. L’applicazione del Gdpr richiede un ulteriore salto di qualità, imponendo di ragionare in termini di protezione dei dati già a partire dalla progettazione dei trattamenti e gestendo esclusivamente i dati necessari alla specifica finalità (privacy by design e privacy by default)”. Come stanno affrontando le aziende l’introduzione di questo nuovo regolamento? Galli: “Vi sono sostanzialmente due possibili approcci: formalistico e sostanzialistico. La sensazione è che in molti stiano facendo una corsa più o meno sensata alla creazione di faldoni cui non sempre corrispon- dono pratiche reali. Altri si stanno confrontando invece con la scoperta che molti dei requisiti chiesti loro oggi dal Gdpr erano in sostanza già dovuti anche dal vecchio Codice della Privacy e stanno cogliendo l’occa- sione di portarsi in pari. Quasi tutti quelli che hanno potuto, si sono fatti supportare da consulenti (esterni o interni) per la redazione della docu- Daniela Lena, responsabile compliance di TAS Group Alessio Galli, internal controls&risk manager di Bosch Rexroth

RkJQdWJsaXNoZXIy MTg0NzE=