Politica

Videosorveglianza, installatori ancora in alto mare ad un anno dal GDPR

CATANZARO, 24 APRILE - A circa un anno dall’entrata in vigore del GDPR, le ultime statistiche indicano che in linea generale solo un'azienda su quattro si è adeguata, e si tratta perlopiù di grandi realtà e multinazionali, mentre le pmi e le microimprese faticano ancora a conformarsi alla nuova normativa sulla protezione dei dati personali. Trai soggetti che avrebbero dovuto attivarsi per essere in regola entro il 25 maggio 2018, una particolare nota dolente riguarda proprio gli operatori del comparto elettrico. Basti pensare che degli oltre 17mila utenti del sito di Federprivacy che si tengono aggiornati settimanalmente sulle novità in materia, meno dell' 1% sono installatori.

Il fatto che questi ultimi non mostrino ancora la dovuta presa di coscienza del Gdpr rappresenta un dato allarmante, perché ormai non solo gli impianti di videosorveglianza, ma quasi tutti i sistemi integrati utilizzano tecnologie intelligenti che per funzionare si appoggiano al web con notevoli impatti sui dati personali degli utenti finali, la cui privacy è messa seriamente a rischio.

Anche se che con l'avvicinarsi della scadenza, lo scorso anno c'è stata una grande curiosità per il Gdpr da parte di migliaia di installatori che hanno seguito i vari convegni sui temi della data protection, a questo iniziale interesse non ha poi fatto seguito un concreto interesse ed una volontà di acquisire le competenze necessarie per adeguarsi al Regolamento europeo sulla privacy.

Basti pensare che trai 2.500 professionisti che hanno partecipato ai percorsi formativi promossi da Federprivacy, molti sono avvocati, commercialisti, ingegneri, ma in paragone gli installatori ed altri operatori del comparto elettrico sono stati davvero pochi, e questo nonostante siano stati messi a punto degli specifici corsi per i consulenti della privacy nel settore della videosorveglianza con la possibilità di ottenere anche la certificazione delle competenze con l'ente indipendente TÜV Italia.

Per quanto riguarda le figure professionali richieste dal Gdpr, occorre precisare che ad eccezione della figura del "Responsabile della protezione dei dati", che è l'unica espressamente obbligatoria per pubbliche amministrazioni ed aziende che trattano dati sensibili su larga scala o che profilano gli utenti online, con l'introduzione del principio di accountability, ogni titolare del trattamento deve realizzare un proprio modello organizzativo e decidere quali figure prevedere nella propria organizzazione aziendale, e come formarle.

Se a distanza di quasi un anno molti installatori non hanno ancora le idee chiare a tal proposito, la causa si trova probabilmente nella diffusa confusione ingenerata da una moltitudine di operatori della formazione e delle certificazioni che da qualche anno stanno proponendo figure professionali di ogni tipo come se fossero state introdotte dal Gdpr, quando invece non è così, e purtroppo chi ha avuto intenzione di creare un business con queste attività ha trovato terreno fertile nella scarsa preparazione degli installatori, che spesso hanno creduto a quello che gli è stato detto senza essere poi in grado di verificarne la veridicità.

In modo analogo, è necessario prestare attenzione al tema delle certificazioni previste dal Gdpr che riguardano la conformità allo stesso Regolamento europeo, e non le figure professionali.

Come hanno chiarito più volte il Garante per la Privacy e la stessa Federprivacy, al riguardo è opportuno rammentare che non esistono titoli abilitanti o certificazioni obbligatorie per la figura del Responsabile della protezione dei dati, conosciuto anche come data protection officer.

Per ciò che concerne invece le certificazioni ai sensi dell'art.42 del Regolamento europeo, i principali attori sono le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento, per cui sono proprio gli operatori elettrici che dovrebbero sollecitare al proprio interno l'attivazione di una specifica attività propedeutica alla realizzazione di un meccanismo di certificazione a beneficio dell'intero comparto.

Oltre ad una cultura della privacy che ancora manca all'appello nel comparto elettrico, le maggiori criticità per gli installatori si racchiudono in due termini anglofoni del Gdpr: "accountability" e "privacy by design".

Il primo indica il principio di responsabilizzazione che richiede al titolare del trattamento di mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare la conformità al Regolamento UE 2016/679, mentre il secondo richiede che fin dalla progettazione di un sistema che implica il trattamento di dati personali, si adottino per impostazione predefinita le misure tecniche e organizzative necessarie a garantire un adeguato livello di protezione.

Entrambi i princìpi introdotti dal Gdpr non richiamano più una lista preconfezionata di misure di sicurezza da adottare o una serie di documenti da redigere, ma richiedono necessariamente professionisti preparati sulla materia con competenze che non possono essere improvvisate. Gli installatori che non lo avessero ancora fatto devono perciò rimboccarsi le maniche e trovare il tempo e le risorse per essere dovutamente edotti, oppure avvalersi di un consulente legale di fiducia che possa dare loro la necessaria assistenza per non esporsi a pesanti sanzioni o richieste di risarcimenti per violazione della normativa sulla protezione dei dati personali.
Notizia segnalata da (Fedeprivacy)