Skema

GDPR, questo sconosciuto (per gli installatori elettrici)

Circa un anno dopo l’entrata in vigore del GDPR, le ultime analisi indicano che – in generale – solo una societ? su quattro si ? adeguata e si tratta per lo pi? di grandi aziende e multinazionali, mentre le piccole e medie imprese e ancorpi? le microimprese stanno ancora lottando per adeguarsi alla nuova legislazione sulla protezione dei dati personali. Tra i settori che avrebbero dovuto attivarsi per essere in regola entro il 25 maggio 2018, una particolare nota dolente riguarda gli operatori del settore elettrico. Basti dire che degli oltre 17 mila utenti del sito Federprivacy che settimanalmente cercano aggiornamenti sulle ultime novit?, meno dell’1% sono installatori.

Il fatto che costori non mostrino ancora la giusta consapevolezza del dettato del Gdpr rappresenta un fatto allarmante, perch? ora non solo i sistemi di videosorveglianza, ma quasi tutti i sistemi integrati utilizzano tecnologie intelligenti che si basano sul web, con impatti significativi sui dati personali dell’utente finale, la cui privacy viene cos? seriamente minacciata.

Stante l’avvicinarsi della scadenza, l’anno scorso si ? riscontrata una oggettiva, grande curiosit? per il Gdpr da parte di migliaia di installatori i quali hanno seguito le varie conferenze sulla protezione dei dati, ma questo interesse iniziale non ha mediamente avuto seguito cos? come volont? di acquisire le competenze necessarie per rispettare la normativa sulla privacy europea.

Basti dire che tra i 2.500 professionisti che hanno partecipato ai corsi di formazione promossi, molti erano avvocati, commercialisti, ingegneri, mentre gli installatori e gli altri operatori nel settore elettrico erano pochissimi, e questo nonostante il fatto che corsi specifici siano stati sviluppati per consulenti della privacy nel settore della videosorveglianza, con la possibilit? di ottenere anche la certificazione di competenze con l’ente indipendente T?V Italia.

Per quanto riguarda le figure professionali richieste dal Gdpr, va chiarito che, ad eccezione della figura del “Responsabile della protezione dei dati”, che ? l’unica figura espressamente obbligatoria per le pubbliche amministrazioni e le aziende che trattano dati sensibili su un grande scala o che profilano utenti online, con l’introduzione del principio di responsabilit?, ogni titolare del trattamento dei dati deve creare il proprio modello organizzativo e decidere quali figure includere nella propria organizzazione aziendale nonch? come addestrarle loro.

Se dopo quasi un anno molti installatori non hanno ancora le idee chiare al riguardo, la causa ? probabilmente dovuta all’ampia confusione creata da una moltitudine di operatori della formazione e certificazione che da alcuni anni propongono figure professionali di ogni tipo, assimilabili a quelle introdotte dal Gdpr, quando invece non ? cos? e sfortunatamente quelli che avevano intenzione di creare un business con queste attivit? hanno trovato terreno fertile nella scarsa preparazione degli installatori, che spesso credevano a ci? che gli veniva detto senza essere poi in grado per verificarne la correttezza.

Allo stesso modo, ? necessario prestare attenzione al rilascio delle certificazioni previste dal Gdpr, che riguardano il rispetto dello stesso regolamento europeo e non le figure professionali.

Per quanto riguarda le certificazioni ai sensi dell’art.42 del Regolamento europeo sulla privacy, i principali attori sono le associazioni e gli altri organismi che rappresentano le categorie di responsabili del trattamento dei dati, per i quali sono proprio gli operatori elettrici a sollecitare internamente l’attivazione di una specifica attivit? propedeutico all’attuazione di un meccanismo di certificazione a beneficio dell’intero settore.

Oltre a una cultura della privacy che manca ancora all’appello nel settore dell’elettricit?, le questioni pi? critiche per gli installatori sono racchiuse in due termini di lingua inglese dal Gdpr: “accountability” e “privacy by design”.

Il primo indica il principio di responsabilit?, che richiede al responsabile del trattamento di attuare misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare la conformit? con il Regolamento UE 2016/679, mentre il secondo richiede che gi? dalla progettazione di un sistema che coinvolge l’elaborazione dei dati personali, le misure tecniche e organizzative necessarie per garantire un livello adeguato di protezione vengano adottate di default.

Entrambi i principi introdotti dal Gdpr non si riferiscono pi? a un elenco preconfezionato di misure di sicurezza da adottare, n? a una serie di documenti da redigere, ma richiedono necessariamente professionisti qualificati sull’argomento con competenze che non possono essere improvvisate. Gli installatori che non lo avessero ancora fatto devono quindi rimboccarsi le maniche e trovare il tempo e le risorse per essere opportunamente informati, oppure avvalersi di un consulente legale di fiducia che possa dare loro la necessaria assistenza per non esporsi a pesanti sanzioni o richieste di risarcimenti per violazione della normativa sulla protezione dei dati personali.