Privacy&

2020/2

Chiara Giannella Maria Ludovica Priori

Intervista al DPO di Telepass e delle società controllate, Avv. Antonio Palermo

Scarica articolo in PDF

Intervista

L’apparato Telepass è nato nel 1990 per semplificare le modalità di pagamento del pedaggio autostradale e facilitare la libertà di movimento. Nel corso del tempo e grazie a una continua innovazione, Telepass S.p.A. (Telepass) è diventata la società leader nel settore del telepedaggio in Europa e sta puntando ora a divenire il punto di riferimento nel settore della mobilità urbana ed extra-urbana creando, insieme alle società da essa controllate (Telepass Pay S.p.A., K-master S.r.l., Telepass Broker S.r.l., Infoblu S.p.A., Urbannext S.A., Wash Out S.r.l. e la “neonata” Telepass Assicura S.r.l.) (di seguito, Gruppo Telepass), un ecosistema di servizi, sempre più capillare e customer oriented, finalizzato a rendere ogni spostamento un’esperienza senza barriere e rivoluzionare il concetto di mobilità, oggi non più e non solo “auto-centrico”.

Entrato di recente nella famiglia Telepass, l’Avv. Antonio Palermo vanta un’esperienza decennale nell’ambito della consulenza legale in materia di data protection, Intellectual Property e diritto societario che gli ha permesso di acquisire tutte le competenze, professionali e relazionali, necessarie per gestire le complessità e le sfide connesse al nuovo ruolo assunto a dicembre 2019.

Privacy& ha dato la parola al DPO di Telepass per scoprire le peculiarità, sotto il profilo data protection, del settore della mobilità e comprendere le modalità di trattamento dei dati personali all’interno di società che viaggiano a forte velocità per raggiungere traguardi sempre più ambiziosi.

 

 

Q.: Benvenuto Avv. Palermo e grazie per aver accettato il nostro invito. Per iniziare vorremmo chiederle qualche informazione aggiuntiva in merito al Gruppo Telepass, una realtà all’avanguardia in cui ha di recente assunto il ruolo di DPO interno. In particolare, quali sono sotto il profilo data protection le peculiarità dei settori in cui operano le società del Gruppo Telepass?

 

Avv. A. Palermo: Il Gruppo Telepass può essere inteso come una community dedicata alla mobilità degli individui: Telepass è società leader in Italia e in Europa nel settore del telepedaggio; Telepass Pay integra l’offerta riservando alla clientela strumenti per il pagamento di tutti i servizi legati alla mobilità personale; K-master è specializzata nel campo del fleet management; Infoblu è il principale operatore nazionale di infomobilità; Urbannext è un aggregatore di servizi per la mobilità urbana; Telepass Broker e Telepass Assicura offrono soluzioni assicurative e la startup Wash Out arricchisce l’offerta con un servizio di lavaggio auto rapido e sostenibile.

Questa diversificazione riflette l’approccio, sempre più orientato verso un nuovo concetto di mobilità urbana ed extraurbana, di cui il Gruppo Telepass è promotore e leader nel settore. Infatti, con la nascita dei nuovi servizi e, in particolare, di quelli assicurativi e di sharing, il focus non è più (esclusivamente) sul pedaggio – con il quale Telepass ha fatto il proprio esordio sul mercato – ma si sposta sulle persone, permettendo loro una mobilità a 360 gradi.

La continua innovazione del business porta quotidianamente con sé nuove sfide in ambito privacy connesse, inter alia, al ricorso alla biometria per semplificare le procedure obbligatorie di adeguata verifica e identificazione del cliente, allo sviluppo di processi di digital onboarding tramite smartphone, alla definizione dei ruoli privacy nell’ambito di partnership commerciali con operatori, a loro volta, leader nel rispettivo segmento di mercato, all’utilizzo dei dati di connettività del veicolo per l’offerta di servizi legati alla mobilità.

L’obiettivo condiviso tra le società del Gruppo Telepass è quello di riservare al cliente un’attenzione capillare; pertanto, emerge sempre più spesso l’esigenza di conciliare i temi regolatori, assicurativi e consumeristici con la data protection affinché l’interessato sia raggiunto in modo sempre più immediato e trasparente, nel rispetto delle diverse normative di volta in volta applicabili e, soprattutto, della propria sfera personale.

Per fare ciò il Gruppo Telepass, si è dotato di un efficiente servizio di costumer care, che consente alle società facenti parte del gruppo di fornire ai clienti un’assistenza tempestiva, così da poter gestire, e talvolta anticipare, tutte le tematiche sottoposte dagli interessati e accompagnare questi ultimi in ogni fase della customer experience.

 

 

Q.: Le società del Gruppo Telepass dispongono di una grande base dati. Come sono gestiti i rapporti infragruppo? Sono state previste misure particolari per la gestione dei flussi di dati all’interno del gruppo?

 

Avv. A. Palermo: In effetti, le interazioni tra le società del Gruppo Telepass sono diverse soprattutto perché alcuni servizi di staff (come, le attività dell’ufficio legale oppure quelle relative alla gestione delle risorse umane) sono centralizzati in Telepass. Per tale ragione, in una prima fase, è stata effettuata una mappatura dei vari rapporti esistenti tra le società coinvolte e, successivamente, abbiamo lavorato per disegnare i flussi di dati personali con l’obiettivo di ottenere una perfetta ricostruzione delle operazioni, svolte da ciascuna entità giuridica, all’interno del proprio registro delle attività di trattamento e nei relativi organigrammi aziendali. Nonostante questa cooperazione, il Gruppo Telepass pone estrema attenzione al tema della segregazione delle informazioni; ciascuna società si è infatti dotata di regole ad hoc per l’accesso alle banche dati.

D’altronde, come già anticipato, c’è massima attenzione per assicurare la riservatezza e l’integrità della sfera personale dei clienti e per creare un rapporto di fiducia con gli interessati che affidano a Telepass (o alle società da essa controllate) i propri dati.

 

 

Q.: A questo punto viene spontaneo chiederLe qual è la struttura privacy che il Gruppo ha deciso di adottare. Nello specifico, come è organizzato l’ufficio del DPO? In particolare, il presidio è stato accentrato presso la capogruppo o si svolge in modo decentrato? Immaginiamo che le richieste che giungono al suo ufficio e le criticità che si trova ad affrontare non siano banali. Ci saprebbe dare qualche numero? Qual è in modo indicativo l’impegno temporale richiesto?

 

Avv. A. Palermo: Sin dalla fase di adeguamento obbligatorio alla normativa dettata dal GDPR, le società del Gruppo Telepass hanno ritenuto opportuno affidare l’incarico di DPO (in un primo momento esterno) a un medesimo soggetto affinché fosse garantito un approccio unitario e omogeneo alle tematiche data protection, anche in considerazione del fatto che i servizi offerti – oltre a essere tra loro connessi – sono caratterizzati da un singolo trait d’union: la mobilità.

Di recente, la figura è stata internalizzata dando vita a un nuovo presidio che dialoga day by day con le funzioni di business delle altre entità giuridiche e con i colleghi del dipartimento IT. Infatti, nonostante i numerosi elementi di contatto tra le società del Gruppo Telepass, ciascuna di esse presenta proprie peculiarità che esigono di essere presidiate da punti di riferimento individuati all’interno di ogni singola realtà. 

A questo proposito, il Gruppo Telepass rinnova costantemente il proprio impegno per diffondere consapevolezza tra le funzioni aziendali in merito alle tematiche data protection.

Sicuramente, la creazione di un ufficio fortemente strutturato può facilitare la gestione degli adempimenti previsti dal GDPR ma il vero valore aggiunto è formare dei “campioni privacy” all’interno di ogni singola struttura e dotare tali ultimi soggetti di strumenti idonei per svolgere il proprio mestiere.

In questo contesto, si inserisce una delle (diverse) iniziative intraprese dal Gruppo Telepass; si tratta di un percorso di digitalizzazione degli adempimenti data protection, tramite un’apposita piattaforma tecnologica, finalizzato a creare i migliori presupposti per lo svolgimento delle attività affidate alle singole risorse.

 

 

Q.: Il GDPR assegna al DPO una posizione del tutto peculiare; tale figura, infatti, non dovrebbe ricevere istruzioni in relazione allo svolgimento dei suoi compiti avendo, allo stesso tempo, un canale privilegiato di comunicazione con il vertice gerarchico aziendale. In una struttura complessa come quella di Telepass, è garantita l’autonomia e l’indipendenza del DPO? Se si, in che modo?

 

Avv. A. Palermo: Il Gruppo Telepass vanta un palmarès di successi e, al contempo, ha grandi aspirazioni per il futuro.

In questo scenario, la scelta del management aziendale è stata quella di dotarsi di una figura aziendale indipendente, in grado di vigilare in presa diretta sul concreto rispetto della normativa in materia di protezione dei dati e di agire con pienezza di funzioni e con strumenti adeguati.

Il mio personale impegno è quello di “nutrire” tale indipendenza con l’integrità e la libertà di pensiero tipica del ruolo, grazie anche (e soprattutto) alla costruzione giorno dopo giorno di un rapporto di stima e fiducia con i colleghi.

Del resto, un dialogo non può che essere “bidirezionale”. Il ruolo di “controllore” è agevolato dal fatto che la conversazione è diretta al raggiungimento di un obiettivo comune, sapendo che dall’altra parte c’è un interlocutore recettivo che ben conosce il valore di operare in linea con la normativa.

D’altro canto, il “dato personale”, che è in primis un bene da tutelare per l’interessato, è un vero e proprio asset strategico per il Gruppo Telepass e, in quanto tale, è protetto come un bene prezioso; da qui deriva la scelta di investire in modo considerevole nella data protection, in termini di effort orario e di capitale umano, per ottenere un presidio sempre più efficace che può dirsi tale solo se dotato di indipendenza e autonomia d’azione. 

 

 

Q.: Un aspetto fondamentale che i titolari e i responsabili sono tenuti a considerare è quello della sicurezza dei dati personali, tenuto conto, ad esempio, del contesto, delle finalità e della natura dei trattamenti effettuati. In ragione di ciò, come si è organizzato il Gruppo a livello procedurale e organizzativo per rispettare le tempistiche sfidanti imposte dalla normativa per la gestione dei data breach?

 

Avv. A. Palermo: Abbiamo effettuato, e continuiamo a effettuare, investimenti importanti lato sicurezza delle informazioni. Ci siamo dotati di sempre nuove competenze, professionisti con un background di notevole esperienza che hanno portato nuove conoscenze da mettere a fattor comune, portando avanti al contempo numerosi progetti per crescere sotto il profilo della cybersecurity e adottare presidi sempre più elevati per tutelare le infrastrutture di rete.

Ovviamente, c’è grande consapevolezza in merito ai rischi connessi agli attacchi e alle ripercussioni che da essi possono derivare, soprattutto, in realtà – come quelle del Gruppo Telepass – in cui sono “maneggiati” (rectius, gestiti) grandi volumi di dati personali.

È stato definito all’interno di ciascuna legal entity un apposito Gruppo di Risposta alle violazioni dei dati personali che con il supporto del DPO e il suo coordinamento si può attivare tempestivamente per la gestione di tali eventualità, seguendo un protocollo ben definito e un calendario serrato per arrivare in poche ore a sviluppare un’analisi completa e dettagliata del fenomeno che consenta alla società di attivarsi, se del caso, anche verso l’Autorità e gli interessati con le opportune comunicazioni.

Le persone sono quindi perfettamente aware sulle azioni da mettere in atto – formalizzate e illustrate nel dettaglio all’interno delle procedure aziendali – per gestire gli eventi nelle tempistiche dettate dalla normativa in materia e per tutelare al meglio i diritti dei clienti/interessati, anche in una situazione critica.

 

 

Q.: Approfittando della sua disponibilità, vorremmo conoscere qualche curiosità e, magari, qualche aneddoto in relazione alla sua esperienza sul “campo”. Nello specifico, quali sono le difficoltà operative maggiormente riscontrate fino a questo momento?

 

Avv. A. Palermo: La risposta a questa domanda può essere sintetizzata con la parola “velocità”, di pensiero e di reazione. Le realtà in cui mi trovo a operare sono infatti estremamente dinamiche. Per darvi un ordine di grandezza, negli ultimi tre anni sono stati lanciati oltre una ventina di nuovi servizi. Si tratta infatti di un Gruppo fedele alla propria storia pluridecennale ma che sta evolvendo rapidamente.

In tale contesto, dunque, una delle principali sfide del ruolo del DPO è sorvegliare che le nuove esigenze di business siano coordinate con il framework normativo e regolamentare, anch’esso in continuo divenire. In particolare, il DPO deve avere anche la capacità di reinterpretare in chiave evolutiva le disposizioni di legge, al fine di valutarne il contenuto alla luce dello specifico contesto di riferimento in cui opera il titolare. Se così non fosse, il DPO rischierebbe di ostacolare il raggiungimento degli obiettivi di business, invece di creare valore.

 

 

Q.: In ragione di quanto sopra, cogliamo allora l’occasione per lanciare una sorta di provocazione.  A Suo parere, quali sono i concreti profili di miglioramento che suggerirebbe alle altre imprese per una più efficace applicazione della normativa nel day-by-day?

 

Avv. A. Palermo: A prescindere dal settore in cui opera il titolare, consiglierei sicuramente di assumere il punto di vista dell’interessato quando si adottano decisioni che hanno profili privacy. L’attenzione non può che essere rivolta all’individuo, ai suoi diritti e alle sue libertà.

Sempre più spesso si assiste invece a una mera strumentalizzazione del dato personale per trarre da esso un profitto, senza peraltro generare alcun valore per l’interessato. L’esempio tipico di questa prassi è riconducibile al marketing spregiudicato effettuato da taluni sulla base di un consenso strappato o estorto in un momento iniziale del rapporto con il cliente, e poi inesorabilmente dimenticato. Ci si ricorda fatalmente di lui solo nel momento in cui il “si” viene revocato.

A mio avviso, la relazione con l’interessato dovrebbe essere coltivata giorno dopo giorno, trovando strumenti sempre più immediati per dialogare con lui su un tema delicato come quello della gestione dei propri dati personali, offrendo al contempo un libero accesso alle informazioni trattate.

Del resto, l’interessato affida al titolare uno dei suoi beni più preziosi: la propria “privacy”.

Mi piace vedere le aziende che investono sulla sicurezza dei dati o che impiegano i loro budget per elaborare nuove tecniche di comunicazione più semplici, dirette e trasparenti (ad esempio, si vedono sul mercato, informative privacy “accattivanti” e allo stesso tempo complete di tutti i requisiti previsti dalla legge).

Questa è la vera rivoluzione copernicana: restituire all’interessato il controllo sui propri dati personali e conquistarlo ogni giorno per portarlo a gradire ciò che si offre, generando dall’utilizzo di tali dati valore aggiunto in primo luogo per l’interessato stesso.

 

 

Q.: L’ultima domanda prima di concludere. Al di fuori del suo ruolo di DPO, come tutela la sua privacy?

 

Avv. A. Palermo: Questa risposta è figlia di quello che ho detto prima. Assistiamo a un mercimonio di dati personali e, considerato che non vedo di buon occhio questa abitudine (già sufficientemente diffusa), sono molto diffidente perché la maggior parte delle attività effettuate con i dati personali sono spesso invisibili agli occhi.

Tutto ciò genera un sentimento di sfiducia nei confronti dei titolari; peraltro, talvolta confermato dal fatto che alcune organizzazioni non sono in grado di fornire risposte convincenti agli interrogativi “dove sono i miei dati?” oppure “con quali modalità sono trattati e da chi?”.

Riallacciandomi a quanto detto in precedenza, quindi, è necessario un cambio di rotta per sviluppare un’attenzione comunicativa maggiore, concentrandosi anche sulla reattività dei riscontri resi e instaurare una relazione di fiducia con l’interessato.