Salta al contenuto
GDPR dopo il 25 maggio: esperienze e competenze necessarie
ICT PROFESSIONAL
 II CTI Liguria ha fatto il punto sulle novità, sulle esperienze, sulle competenze necessarie, con l'evento che ha avuto luogo martedì 12 giugno, presso il Palazzo Ducale di Genova, a cui sono intervenuti l'avvocato Elena Bassoli, esperta legale della sicurezza informatica e componente del Comitato Direttivo del CTI Liguria, il dott. Giovanni Ghersi di IF&But Network di comunicazione, come testimone della realtà aziendale e l'Ing. Roberto Ferreri di AICA per le competenze. Il GDPR si applica a persone, società e organizzazioni che raccolgono e gestiscono qualunque tipo di dato personale e ci coinvolge tutti indistintamente, perché siamo clienti o dipendenti o titolari d' impresa, e troppo spesso sentiamo anche dalla stampa non specialistica che i nostri dati sono stati venduti a terzi e che qualcuno lucra diffondendo le nostre attitudini e gli orientamenti commerciali. L'avvocato Elena Bassoli, per dirimere gli aspetti legali, e il dott. Giovanni Ghersi sulla tematica del processo di adeguamento aziendale, ci hanno resi partecipi delle criticità registrate nei trascorsi mesi, di come le aziende abbiano vissuto con ansia il processo di adeguamento nel timore di sanzioni amministrative che taluni quantificavano in 20 Mila euro, mentre nel regolamento si legge "siano inflitte in relazione al singolo caso e comunque effettive, proporzionate e dissuasive". Le aziende e gli enti pubblici hanno acquisito consapevolezza sul valore della sicurezza dei dati, e oggi la garanzia di riservatezza è una catena che collega gli attori della manipolazione dei dati, inducendo a riflettere sulle Competenze Digitali di base che spesso alcuni lavori prima non richiedevano: ad esempio, oggi anche il medico aziendale che manipola i dati particolari dei dipendenti è responsabile nel garantirne la protezione. L'Ing. Roberto Ferreri di Aica ci ha ricordato come sono configurati i profili professionali secondo la UNI 11697:2017 e in particolare le competenze assegnate a Responsabile della Protezione Dati. La norma definisce una descrizione sintetica del profilo, una missione, dei risultati attesi, dei compiti principali, delle competenze, delle abilità e delle conoscenze. Per ognuna delle competenze assegnate è definito un livello di competenza. Roberto Ferreri ci ha ricordato che il GDPR, nell'intenzione dei legislatori europei, è ispirato a tre cardini fondamentali che ogni impresa in tutta la sua vita dovrà tenere ben presenti ed applicare in ogni scelta: Privacy by Default: ogni impresa è tenuta a tutelare la vita privata dei cittadini "di default"; la Privacy deve essere una scelta di base, cosciente, predefinita e continuativa nel tempo, che l'impresa deve trattare come valore fondante nel suo operare. Privacy by Design: la protezione dei dati dei cittadini deve partire dalla progettazione di ogni processo aziendale, deve esser parte del disegno iniziale e non un "adeguamento" postumo. Accountability, termine anglosassone che letteralmente significa responsabilità, nel senso di rendicontazione: dover render conto a terzi delle scelte compiute.