Visto il sempre maggiore interesse delle aziende nell’applicazione dei principi del GDPR alle proprie imprese, si rende necessaria una maggiore chiarezza sull’applicazione pratica del regolamento in materia di protezione dei dati personali.
Nel Regno Unito, il Commissario per l’informazione (ICO) ha recentemente adottato misure per affrontare questa necessita’ attraverso l’annuncio di una “Regulatory Sandbox”, e cioe’ un sistema di prova per l’applicazione del nuovo regolamento.
Il termine “sandbox” trae origine dalle piccole scatole ripiene di sabbia dove i bambini possono giocare e sperimentare all’interno di un ambiente controllato.
Il termine e’ molto utilizzato nel settore informatico e nel settore dell’economia digitale, e fa riferimento a sistemi di prova per nuovi modelli di busines che non sono protetti e soggetti alla normativa o al controllo di organismi di regolamentazione.
L’ICO intende utilizzare il proprio Sandbox per favorire la collaborazione e lo scambio di idee tra il regolatore e le parti soggette a tale normativa al fine di supportare quelle organizzazioni che desiderano utilizzare i dati personali in modo innovativo attraverso l’uso di nuove tecnologie e approcci.
Lo schema è aperto a società che vanno da organizzazioni multinazionali a start-up e offre l’opportunità di ricevere l’accesso ad un supporto gratuito e professionale da parte della ICO in materia di GDPR e UK Data Protection Act 2018 nel corso dello sviluppo di prodotti e servizi.
Nell’immediato il Sandbox sarà limitato a circa dieci organizzazioni, selezionate da un gruppo di richiedenti. Queste organizzazioni parteciperanno alla fase beta, che si svolgerà da luglio 2019 fino a settembre 2020.
Durante questo periodo, l’ICO si è impegnato ad offrire assistenza con la progettazione e la prototipazione dei concetti, la supervisione informale dei processi di collaudo e una serie di workshop. Terminato il coinvolgimento del partecipante, questi puo’ richiedere all’ICO di fornire una dichiarazione di confidenza normativa che mira a fornire garanzie in merito alla conformità del prodotto o del servizio alle leggi sulla protezione dei dati.
Dal punto di vista della privacy, il Sandbox incoraggia un approccio alternativo all’impegno normativo. Attualmente, la maggior parte delle autorità di protezione dei dati personali all’interno dell’UE tende a operare in modo prevalentemente reattivo. La maggior parte delle organizzazioni entrano infatti in contatto con un’autorità solo se è stato presentato un reclamo contro di loro da un determinato soggetto o quando è stato richiesto di segnalare una violazione nel trattamento dei dati personali.
I risultati della recente consultazione intrapresa dall’ICO indicano che vi è un notevole interesse per l’iniziativa Sandbox da parte delle organizzazioni commerciali che hanno risposto.
Una domanda che viene comunemente posta è come principi come equità, minimizzazione dei dati e responsabilità dovrebbero essere applicati in un ambiente pratico, in particolare alle nuove tecnologie come l’apprendimento automatico e la blockchain.
Tuttavia, in assenza di codici di buona condotta approvati dal settore e orientamenti regolamentari specifici del contesto, la natura stessa dei principi del GDPR può creare incertezza e ambiguità.
L’ICO ha indicato che è probabile che l’iniziativa porti alla pubblicazione di ulteriori orientamenti normativi e risorse, insieme a informazioni pubblicamente disponibili sull’identità dei partecipanti e una breve descrizione delle innovazioni proposte.
L’apertura di un canale di comunicazione costruttivo consente alle aziende di instaurare un rapporto di fiducia con le autorità di vigilanza e di capire quali misure dovrebbero adottare al fine di garantire che le loro operazioni commerciali siano conformi alla privacy.
La consultazione con l’autorità di controllo offre quindi un’opportunità per convalidare questo approccio e di modificarlo di conseguenza.
Sebbene la Sandbox di ICO offra un approccio relativamente nuovo alla conformità nel campo della privacy, vi sono altri settori in cui e’ stato adottatto con successo questo modello.
Nel settore dei servizi finanziari del Regno Unito, ad esempio, la Financial Conduct Authority (FCA) ha introdotto una sandbox regolamentare nel 2015.
Analogamente all’iniziativa proposta dall’ICO, la sandbox della FCA mira a facilitare le imprese a testare prodotti innovativi, servizi e modelli di business, fornendo competenze normative e strumenti per supportare le fasi di progettazione e test.
Molte organizzazioni, in particolare le start-up, hanno già partecipato, con nuove innovazioni come le cosiddette piattaforme di robo-consulenza (che offrono consulenza finanziaria automatizzata) e le tecnologie di contabilità distribuita in fase di test.
Un rapporto pubblicato dall’Autorità di Regolamentazione nel 2017 indica che l’accesso alle competenze normative attraverso la sandbox aveva ridotto il tempo e il costo delle aziende di servizi finanziari che lanciavano idee innovative sul mercato.
Lo schema sembra inoltre aver promosso partnership tra le grandi imprese e le start-up che sono state coinvolte.
L’aspettativa è che, entro i prossimi 12-18 mesi, lo schema dell’ICO si estenderà ad una platea di organizzazioni molto più ampia. I candidati avranno la priorità in base a determinati criteri di ammissibilità, vale a dire il beneficio pubblico offerto dalla proposta, la capacità di dimostrare che il prodotto o il servizio è genuinamente innovativo e l’idoneità dell’organizzazione a partecipare.
Be the first to comment