Gianluigi Carbone, DPO, Consulente senior per la Privacy / Cybersecurity e Formatore
Da buon professionista in materia di Data Protection, Gianluigi Carbone non vuole rivelare al web alcun dato personale perchè «il Garante per la Privacy parla chiaro: dati e informazioni si trasformano velocemente in denaro e potere». Qualcosa, però, riusciamo a farglielo svelare: prima di arrivare in UOMOeAMBIENTE, nel 2018, ha lavorato per più di 16 anni come consulente presso diverse società specializzate del settore privacy e cybersecurity e per un lungo periodo della sua carriera si è focalizzato in particolare sull'applicazione del Codice Privacy nel business assicurativo.
Nel suo passato c'è anche l'attività di addetto alle pubbliche relazioni che ha svolto fin dai tempi del Politecnico di Torino, dove si è laureato in Ingegneria Meccanica, fino al 2010. Un'occupazione, nonchè una passione, che gli ha permesso di sviluppare uno spiccato orientamento al colloquio con i clienti, rapportandosi con loro e instaurando partnership all'insegna della qualità e dell'innovazione. La socialità e le PR gli piacciono così tanto che, ridendo, giura di avere valutato in passato l'apertura di una bancarella di frutta e verdura al mercato «per passare tanto tempo in mezzo alla gente».
Come si struttura una consulenza UOMOeAMBIENTE in materia di Privacy?
«Innanzitutto, si procede con un check up per valutare la conformità dell'azienda alle norme del GDPR e della cybersecurity. Procedo con un'analisi iniziale della struttura organizzativa che tiene conto, anche, della collocazione fisica e logica dei dati, implementando tutto quell'impianto documentale contenente l'elenco dei rischi a cui sono soggette le informazioni che transitano all'interno della rete informatica del cliente: il risk assessment è un passaggio fondamentale per prevenire eventuali illeciti o, più semplicemente, perdite involontarie di informazioni. Si passa all'ideazione di un piano di miglioramento teso ad aumentare il livello di cyber sicurezza del cliente che fino a quel momento, probabilmente, non aveva mai dato una reale importanza quantitativa alle informazioni "immateriali" in suo possesso. Lungo il percorso di adeguamento mi occupo di fornire un'assistenza continuativa al cliente. Spesso mi viene affidato il ruolo di DPO (Data Protection Officer), l'anello di contatto tra l'autorità Garante nelle sue attività ispettive e i soggetti interessati. Questo accade particolarmente quando la normativa prevede che la mia figura sia obbligatoria, come ad esempio per la gestione dei Data System degli Enti Pubblici».
Tra tutti i progetti seguiti per conto di UOMOeAMBIENTE, quale ti ha dato più soddisfazione seguire?
«Non ho un progetto in particolare da segnalare ma, in generale, prediligo le commesse dove ho l'occasione di instaurare una maggiore complicità con il cliente. La creazione di un rapporto fiduciario mi permette di piantare il seme della cultura aziendale in materia di protezione dei dati, troppo spesso non sufficientemente sviluppata in questo Paese. Direi quindi che il progetto che preferisco è... il prossimo, perchè immagino che l'incarico che mi sarà affidato potrebbe darmi maggiore soddisfazione di quello precedente».
La cultura aziendale in materia di protezione dati italiana è poco radicata...
«Il Regolamento generale sulla protezione dei dati è entrato in vigore nel 2016 con applicazione a decorrere dal maggio 2018: era questo il termine ultimo per adeguare le policy aziendali nell'intera Unione Europea. L'Italia ha integrato le nuove direttive all'interno del suo Codice Privacy, oramai obsoleto, nel settembre dello stesso anno. Un ritardo che, a mio avviso, è sintomo di uno scarso livello di consapevolezza o "Cultura Zero" in materia: troppo spesso si percepisce l'importanza dei dati e delle informazioni sensibili solo quando la si prova sulla propria pelle, ovvero quando le aziende incorrono in gravi sanzioni economiche - che non tutte le PMI italiane possono permettersi di pagare - o hanno luogo incursioni informatiche che causano la perdita dei dati raccolti. Manca la cultura della prevenzione che, con UOMOeAMBIENTE, cerchiamo sempre di instaurare. Le sanzioni rappresentano solo la punta dell'iceberg, infatti, la perdita di dati da parte di un'azienda comporta anche una lesione ai diritti umani più fondamentali. Si pensi anche solo all'identificazione "Maschio" e "Femmina" presente sulla nostra carta di identità , spesso richiesta ai fini dell'assunzione. Al di là della questione Gender, ovvero il diritto umano di non identificarsi necessariamente in questa dicotomia, c'è anche la semplice distinzione "Nubile" "Celibe" che, di per sè, relega la sfera affettiva dell'individuo al solo atto del matrimonio. Queste semplici parole celano informazioni personalissime che l'azienda, per il benessere dei propri dipendenti, è tenuta a proteggere. I dati sono un asset che non tutte le aziende sono in grado di gestire e, ove possibile, sfruttare al meglio. Lo dimostra il fatto che, durante i miei corsi di formazione, la maggior parte delle domande che mi vengono poste riguardano il trattamento dei dati concernenti la sfera individuale: "Nel mio posto di lavoro c'è una poca trasparenza nella gestione dei miei dati personali, come devo comportarmi?" "Fino a che punto il mio datore di lavoro può utilizzare i miei dati per questioni relative, ad esempio, alle comunicazioni di marketing?" C'è sensibilità sulla materia, ma non c'è cultura».
In quali valori di UOMOeAMBIENTE ti identifichi maggiormente?
«La multidisciplinarietà dei servizi offerti. Il DPO ha competenze informatiche, giuridiche, deve sapere analizzare e ottimizzare i flussi di dati aziendali, sorvegliare le loro modalità di conservazione, essere sempre aggiornato sulla legislazione europea e non solo. Ha competenze verticali e, al contempo, altamente capillari: il suo è un approccio olistico alla materia ed è lo stesso che adottiamo in UOMOeAMBIENTE. E lo facciamo con passione, ogni giorno».