Società che gestisce l’operatività dell’Aeroporto di Milano Bergamo (12,9 milioni di passeggeri nel 2018, con una crescita del 5 %) Sacbo ha preso sul serio l’adeguamento a GDPR fin dalla prima pubblicazione nel maggio del 2016: “In quel momento avevamo già adempiuto a tutti gli adempimenti obbligatori della legge 196”, spiega Remo Ceriotti, responsabile internal auditing di Sacbo, che prosegue: “Abbiamo quindi pensato d’inserire il GDPR nel nostro lavoro, in modo che costituisse un’opportunità per rendere più trasparenti ed efficienti i nostri processi, non solo un obbligo a cui adempiere”.
Nel proprio ruolo di responsabile del controllo, come era individuato dal dlgs 196/03, dell’operato degli amministratori di sistema interni, del rispetto dei tempi di legge nella conservazione dei log, Ceriotti con il Resp Legale ha supportato l’ufficio HR nella formazione su privacy e tutela dei dati, “assicurando alle persone non solo le conoscenze di giurisprudenza, ma anche operative – precisa il manager -, avvalendomi dell’esperienza ventennale sui campi della privacy, diritto e informatica nelle diverse aziende in cui ho lavorato”.
Per Ceriotti il regolamento GDPR dà una svolta molto positiva alla tematica della privacy: “Il legislatore ha adottato un approccio diverso da quello burocratico del passato, imponendo adempimenti che risultano utili anche dal lato del business, spronando le aziende ad adottare soluzioni che sono abilitanti per la conoscenza dei dati, dei clienti e per rispondere meglio alle necessità del mercato”. Per il manager un merito del GDPR è anche nell’aver portato la tematica della privacy all’attenzione dei vertici delle società: “Qualcosa era già cambiato con l’esplosione di alcuni casi mediatici, ma dal 25 maggio scorso la privacy è diventata un argomento di discussione nei consigli di amministrazione e negli uffici legali delle multinazionali, dando visibilità a team, come il nostro, che per anni in modo sommerso se ne era occupato”. A fianco dell’internal auditing, l’IT è tornata a giocare un ruolo fondamentale: “Laddove in passato si faceva copia & incolla delle misure proposte dal Garante, oggi si chiede la capacità di fare analisi del rischio sui dati, entrando quindi nel vivo dei trattamenti, identificando i processi, dando una paternità alle informazioni”.
La governance dei dati in un aeroporto
Come azienda che opera nell’ambito aeroportuale, Sacbo deve affrontare grandi complessità sul fronte della tutela dei dati personali, assolvendo agli ulteriori obblighi di prevenzione e di analisi delle difese (digitali e fisiche) previsti da normative di sicurezza e antiterrorismo. “Siamo al centro di una filiera di gestione dei dati che è in parte interna e in parte esterna – spiega Ceriotti –, condivisa con forze di Polizia, Guardia di finanza, Agenzia delle Dogana: ciascuno con propri obiettivi, prassi operative e strumenti di controllo”. Sacbo si occupa della verifica dell’identità delle persone che si presentano ai controlli di sicurezza, secondo le normative previste dal Piano di Sicurezza Nazionale. Gestisce servizi complementari, come l’accesso di priorità ai controlli; raccoglie le segnalazioni di passeggeri affetti da ridotta mobilità (PRM) che richiedono una specifica assistenza in partenza e all’arrivo; concilia regole e procedure locali in presenza di aeromobili che arrivano da Paesi extra-UE (fuori dalla giurisdizione GDPR, ndr).
La strada di Sacbo per l’adeguamento a GDPR
Il lavoro di adeguamento è iniziato con la costituzione di un comitato dedicato alla data protection. “Lo abbiamo realizzato coinvolgendo sia i consulenti esterni di P4I sia persone interne all’azienda, mettendo insieme competenze trasversali in tema di data governance, valutazione del rischio e compliance – spiega Ceriotti -, considerando anche HR per le tematiche aventi risvolti giuslavoristici”. Il lavoro è proseguito con la fase di auditing, realizzata intervistando tutti i referenti interni e i loro collaboratori per capire chi è a contatto con i dati e cosa ci fa, mappando processi verticali e trasversali, quindi stilando il Registro dei Trattamenti previsto dal GDPR.
La società ha quindi nominato la figura del Data Protection Officer (DPO) come è necessario per le aziende che trattano dati su larga scala come Sacbo, e costituito un team di supporto con competenze organizzative, IT, legali e di auditing per svolgere i compiti assegnati. “La figura del DPO è stata identificata in un consulente legale esterno che opera in collaborazione con altri professionisti e figure interne all’azienda”, spiega Ceriotti.
Una scelta dettata dall’esigenza di conferire al DPO indipendenza e autorevolezza nei riguardi del management: “Il DPO rappresenta la terza fase del modello di controllo Data Protection aziendale mentre il secondo livello è demandato alla mia funzione aziendale e il primo ai singoli Referenti Interni. Il DPO inoltre è l’unica figura preposta a dialogare con il Garante – precisa Ceriotti -.
Una rivoluzione è oggi lavorare insieme e non a compartimenti stagni, discutere di privacy a monte e non più a valle dei progetti, sapere da dove i dati arrivano e dove finiscono, cosa utile per decidere se è possibile gestirli in cloud o solo su server interni”. Nel concreto il GDPR ha creato opportunità per la crescita professionale del personale”.
GDPR in aiuto della digital transformation
Avere piena coscienza dei dati in possesso dell’azienda e dei processi che li riguardano è un fattore chiave non solo per la conformità con gli adempimenti del GDPR, ma anche per procedere senza intoppi sulle vie della digitalizzazione. “Ci ha aiutato a capire le nostre potenzialità per poter essere più efficaci nel nostro settore”, spiega Ceriotti. Nel futuro di Sacbo ci sono servizi più efficienti, ma anche servizi innovativi. “L’aeroporto è un punto nodale di una rete di trasporto dove un gran numero di persone passa parte del proprio tempo – precisa il manager -. I dati che abbiamo, gestiti in accordo con le regole della privacy, possono dare una spinta alle nostre capacità di fare marketing proponendo ai viaggiatore i nostri servizi e le potenzialità dello scalo quali i servizi che l’aeroporto mette a disposizione sotto forma di connettività digitale, parcheggi, sale vip, gallerie commerciali e così via. Oltre alle opportunità per il nostro business, questo aiuta i viaggiatori ad avere un’esperienza positiva”. Le misure messe in atto per il GDPR sono una base per l’attuazione di nuove regole, oltre che per l’applicazione d’interpretazioni e disposizioni specifiche che il Garante darà in seguito. “Le compliance normative sono come fotogrammi in un impegno che per noi è continuo – precisa Ceriotti -. L’impegno in un processo virtuoso di miglioramento dei processi che riguardano la governance dei dati e la privacy e che va distillato in tutti gli ambiti dell’azienda, inserito ‘by design’ nei nuovi processi con il coinvolgimento del Comitato per ogni variazione normativa e per le relative analisi d’impatto”. In una grande azienda complessa come Sacbo è stato importante aver chiarito le responsabilità della governance dei dati e la creazione in seno all’IT delle figure cardine sulle quali ruota la valutazione dei rischi impattanti sui processi. “Quando c’è qualcosa di nuovo, l’IT viene sempre coinvolta – continua Ceriotti -”. Ciò che abbiamo messo in piedi è un modello per analizzare e controllare il rischio associato ai dati, sostenuto da una solida base organizzativa pronta al cambiamento.