Le 5 sfide sul fronte privacy nel 2021
di ilaria iaquinta
Il 2021 si apre, per i data protection officer (dpo) e i giuristi d’impresa che si occupano di privacy, con non poche sfide, frutto della nuova realtà. Il mondo è cambiato rispetto a quello che solo un paio d’anni fa portava alla nascita della categoria professionale dei dpo e allargava le competenze dei legali in ambito privacy. E non solo per via della pandemia.
MAG ne ha parlato con Sandra Mori, dpo di Coca-Cola per l’Europa. La giurista ha elencato quelle che suo avviso sono le 5 principali sfide in ambito privacy del 2021 per aiutare la redazione a metterle a fuoco e dare qualche indicazione sul come potranno essere affrontate.
Data Ethics
Clienti e consumatori sono sempre più attenti all’uso che le aziende fanno dei loro dati personali. Per questo motivo, le imprese dovranno dimostrare di trattare in modo etico i dati in loro possesso, “raccontando” chiaramente alle persone come questi vengono usati e rassicurandole sul fatto che l’utilizzo degli stessi è indirizzato all’ottimizzazione della loro esperienza. «Bilanciando le esigenze di innovazione costante coi principi etici possiamo proteggere i consumatori dall’impatto che i servizi forniti utilizzando la tecnologia hanno sul loro diritto alla riservatezza e migliorare il valore della nostra offerta. Un esempio di ciò può essere la semplificazione dell’informativa privacy e la sua contestualizzazione all’interno dell’esperienza di acquisto del consumatore», commenta Mori. Molte aziende si stanno muovendo in questa direzione e gli esperti di privacy al loro interno dovranno accompagnarle su questa strada fornendo soluzioni flessibili e creative. L’opportunità per i dpo è «lavorare su una sempre maggiore integrazione dei principi di “data ethics” e privacy nella catena del valore di prodotti e servizi».
Sicurezza dei sistemi e controlli sui lavoratori
Con l’incremento del lavoro da remoto, a seguito della pandemia, sono aumentati esponenzialmente i rischi relativi alla sicurezza dei dati, delle informazioni e dei sistemi aziendali. I sistemi informativi hanno delle debolezze e la tecnologia non garantisce al 100% la protezione degli asset. Tutto questo richiede «una più stretta collaborazione tra gli esperti di privacy e quelli di cybersecurity all’interno delle imprese, cosa di per sé non facile data la tensione esistente tra le due funzioni, generata dal fatto che, specialmente in tempi di crisi, i primi tendono a contrastare questi rischi aumentando i controlli sui lavoratori – spiega Mori – . In realtà, le due funzioni dovrebbero lavorare di concerto per supportare i necessari cambiamenti al comportamento dei lavoratori, generando e aumentando la consapevolezza e fornendo supporto in maniera più agile e immediata». Nei mesi scorsi, la collaborazione tra privacy e cybersecurity, secondo l’esperienza della giurista, è stata utile per creare training congiunti, riadattare le procedure di data breach al lavoro da casa, coinvolgere i dipendenti nelle tematiche di sicurezza e rendenderli partecipi delle nuove esigenze di gestione del lavoro. «Gli esperti di privacy dovranno sempre di più dotarsi di queste soft skills per continuare a sostenere la strategia dell’azienda in futuro, dato che siamo ormai certi che il lavoro non riprenderà mai completamente “in sede”», aggiunge la dpo.
I cookie avranno un futuro?
Negli ultimi anni gli esperti di privacy in azienda hanno speso molto tempo aggiornare spesso le cookie policies e ad assicurarsi che i “cookie banner” permettessero al cliente di effettuare con chiarezza le proprie scelte. Eppure, oggi, secondo molti esperti, i cookie starebbero per fare la fine dei dinosauri, visto che stanno emergendo nuove soluzioni tecnologiche molto meno invasive e più rispettose della privacy. «L’inizio della fine del mondo dei cookie si è avuto all’inizio del 2020 quando Google ha annunciato di volersi unire a Firefox e Safari nel bloccare l’utilizzo di cookie di terzi nel loro browser, seppure in modo graduale e in un periodo di due anni», spiega Mori.
In particolare, le nuove tecnologie – secondo la giurista – permetteranno agli esperti di marketing di “targetizzare” i consumatori senza focalizzarsi sulle persone fisiche specifiche e ai dpo di sviluppare ulteriormente il concetto di data ethics e le sue applicazioni, aprendo nuove prospettive di attività e analisi.
Trasferimento dati fuori da UE post Schrems II
L’invalidazione dell’EU-U.S. Privacy Shield agreement dovuta alla decisione “Schrems II” darà un bel daffare agli esperti di privacy in house. «Anche se la decisione dice chiaramente che le Standard Contractual Clauses restano valide “è necessario mettere in piedi salvaguardie ulteriori” per poterle legittimamente continuare a usare. Ma c’è poca chiarezza in merito a che cosa siano queste “salvaguardie ulteriori” e quale sia o debba essere il ruolo delle aziende nell’individuarle e metterle in pratica», dichiara Mori. Nei mesi a venire i dpo dovranno cercare lavorare all’analisi di possibili soluzioni che rendano il trasferimento dei dati più sicuro, in modo da minimizzare i rischi ed evitare possibili conseguenze legali in futuro, ma anche affiancare la funzione IT, assistendola nella valutazione di soluzioni di sistema più radicali o fornitori alternativi. «Ancora una volta il nostro ruolo dovrà essere sempre più compenetrato con quello di IT e security per fornire all’azienda soluzioni che tengano conto di tutti gli aspetti critici», conclude la giurista.
Evoluzione del ruolo del dpo
Intanto bisognerà tenere d’occhio l’evoluzione dei sistemi privacy extra-Ue per vedere quanti di questi prevedranno la nomina di un dpo o un professionista simile. Per le multinazionali e le aziende con clientela internazionale – spiega Mori – sarà un’opportunità di standardizzazione della funzione e creazione di un approccio comune alle varie problematiche.
Ma soprattutto, finita l’era dell’implementazione del “GDPR framework” e in una realtà molto diversa da quella immediatamente successiva al 25 maggio 2018 – evidenza la giurista – deve cambiare il ruolo del dpo. Questo professionista deve integrarsi con l’organizzazione (IT, security, strategy e top management) e arricchirsi delle competenze operative e commerciali specifiche dell’azienda. «Non occorre diventare “tuttologi” – precisa – ma dotarsi di un team che abbia al suo interno tutte queste competenze». Più in generale, conclude: «Ai professionisti della privacy verrà sempre più richiesta un’expertise non più solo tecnica della materia, ma anche creativa. Dovranno progettare soluzioni dove la privacy diventa un asset per l’azienda, non solo come elemento di attrattività nei confronti dei dipendenti ma anche come valore da offrire a clienti o consumatori».
