A partire dal 25 maggio 2018 gli Stati membri dell’Unione Europea sono soggetti al nuovo regolamento UE 2016/679 in materia di Privacy (Regolamento Generale sulla Protezione dei Dati, meglio conosciuto con l’acronimo GDPR, General Data Protection Regulation), il quale abroga la precedente Direttiva ed introduce importanti novità, oltre ad un impianto sanzionatorio più oneroso.
Il 25 maggio sono scaduti gli oltre due anni di tempo concessi dal Regolamento europeo affinché i soggetti che trattano dati personali potessero adeguarsi (il Regolamento UE è stato emanato il 27 aprile 2016).
GDPR: QUADRO NORMATIVO INCOMPLETO
Nonostante questo ampio lasso di tempo, la normativa italiana non è ancora stata adeguata, e la prassi è tutt’altro che completa.
Infatti, complici anche le elezioni e la formazione del governo, oggi è ancora in fase di elaborazione un Decreto nazionale che dovrà adattare le disposizioni attualmente previste dal Codice Privacy (D. Lgs. 196/2003) alle novità introdotte dal GDPR.
Inoltre, il Garante, solo 7 giorni prima della scadenza ha introdotto una procedura telematica per la comunicazione dell’eventuale Responsabile della Protezione dei Dati – RPD (o in inglese DPO – Data Protection Officer).
Dal Garante stesso, in coordinamento con le associazioni di categoria, si attendono ancora le linee guida specifiche per i singoli settori, e le indicazioni su cosa fare per adeguarsi al GDPR per le Micro e Mini-imprese in ottica di riduzione e semplificazione degli adempimenti.
Solo alcuni ordini professionali (tra i quali i Dottori Commercialisti in aprile, e gli Avvocati in maggio) hanno emanato le linee guida specifiche per i propri iscritti.
In tale contesto, tutt’altro che certo e stabile, ad oggi solo una piccola parte di aziende si è adeguata (le più grandi o le più virtuose). E chi si è adeguato, quando sarà finalmente rivisitato il Codice Privacy, eliminando le incongruenze con il GDPR, dovrà rivedere le procedure impostate pochi mesi prima.
PROROGA EFFICACIA GDPR: PROSPETTIVA REALISTICA?
Anche a causa del quadro normativo incompleto, da più parti sono arrivate richieste di proroga (tecnicamente non accoglibili in quanto il GDPR è norma europea e pertanto è entrato in vigore automaticamente), o almeno la richiesta di un grace period (come adottato in Francia). Il Garante conferma che non ritarderà i controlli ma, salvo il caso di segnalazioni di illeciti per i quali è tenuto ad intervenire tempestivamente, è auspicabile attendersi che i controlli dei primi mesi avverranno sulle realtà più grandi o con maggiori quantità di dati trattati, o con maggiore esposizione mediatica.
GDPR: CHI DEVE ADEGUARSI?
I maggiori oneri che peseranno sulle aziende a seguito dell’introduzione del GDPR sono stati pensati nello specifico per le grandi imprese, quali banche e assicurazioni, compagnie di telecomunicazioni ed internet companies internazionali, le quali trattano una grande quantità di dati personali (scandali quali quello di Facebook – Cambridge Analytica hanno dimostrato la fragilità della normativa previgente e la poca sensibilità degli utenti).
Tuttavia, nell’era digitale, le PMI italiane non possono ritenersi esentate da un’analisi dei processi e dei trattamenti che riguardano i dati personali, e dall’adattamento necessario qualora questi non siano adeguati alle nuove regole dettate dal GDPR.
Il Garante della privacy ha recentemente ricordato che non vi sono solo sanzioni amministrative quali “reazioni” all’illecito. Oltre ad un approccio gradualistico, vi sono anche misure inibitorie o prescrittive (che spesso causano più danni al fatturato di un’azienda che una – pur elevata – sanzione pecuniaria).
GDPR: COME GESTIRE GLI ADEMPIMENTI
È necessario innanzitutto un salto culturale ed un cambio di approccio ai dati ed alla sicurezza che impatta sia sulla logica di progettazione delle procedure, sia sugli adempimenti da svolgere.
Non si tratta più di un adempimento “formale” per il quale è sufficiente preparare alcune informative e conservare un carteggio più o meno corposo, oltre a misure di sicurezza informatica oramai blande, previste da una normativa vecchia di 15 anni (il Codice Privacy è del 2003).
Adeguarsi al GDPR è un processo articolato, che può durare mesi, ed è pertanto necessario che tutte le imprese facciano un primo sforzo per cominciare a rendersi compliant.
In tale senso è assolutamente consigliabile il supporto di consulenti qualificati, i quali possano affiancare l’impresa nel processo di adeguamento al GDPR, sia nel caso in cui l’attività venga completamente esternalizzata, sia nel caso in cui il consulente abbia solamente il ruolo di supervisione dell’adeguamento curato internamente dagli uffici legali aziendali.
Il GDPR chiede alle aziende di:
- Conoscere i processi aziendali che trattano dati personali;
- Gestire i dati personali;
- Proteggere i dati personali;
- Documentare i trattamenti svolti ed adeguarli alla normativa vigente;
- Revisionare e migliorare costantemente i processi.
GDPR: COSA FARE IN TRE STEP
Sintetizziamo in 3 semplici step le attività da porre in essere per poter adeguare il trattamento dei dati che avviene in azienda con quanto richiesto dalla normativa europea e nazionale come modificata dal GDPR:
- Gap Analysis: analisi dei trattamenti e delle misure di sicurezza adottate, per comprendere “quanta strada” c’è da fare prima che l’azienda possa considerarsi GDPR compliant;
- Implementazione delle misure di sicurezza necessarie e adeguamento dei sistemi legali ed IT. Tale fase comporta lo stanziamento di fondi che l’azienda dovrà investire per mettere in atto i cambiamenti necessari;
- Aggiornamento continuo, attraverso un assessment almeno annuale.
Le azioni da intraprendere per portare a termine con successo il processo di adeguamento al GDPR in tutte le fasi riguardano tre aspetti fondamentali (che sono anche tre differenti “approcci” o tre “anime” del problema):
- Aspetto Formale/Legale: revisione delle informative privacy, adeguamento delle policy dipendenti, adozione del registro dei trattamenti, incarico ai Responsabili esterni dei Trattamenti, eventuale nomina del DPO, regolamentazione del trasferimento all’estero dei dati, esame dei contratti con fornitori e clienti ecc.;
- Aspetto Organizzativo: progettare ed organizzare procedure conformi al GDPR ed alle finalità di trattamento;
- Aspetto IT: adeguare le infrastrutture affinché garantiscano l’adempimento dei nuovi obblighi in materia di privacy.
Ovviamente queste attività devono essere effettuate in funzione delle dimensioni aziendali, del numero di dipendenti, della quantità di dati personali trattati, dal tipo di trattamenti svolti (dove, come e quando).
GDPR: NON È MAI TROPPO TARDI PER ADEGUARSI
Non è mai troppo tardi: ci vorranno ancora mesi per vedere un livello di conformità al GDPR diffuso ed accettabile.
Federprivacy ha calcolato che serviranno 45.000 DPO in Italia e che attualmente i soggetti che hanno seguito un percorso di formazione adeguato sono poco più di 2.000.
È evidente che, anche grazie all’entrata in vigore del GDPR, sta nascendo una nuova professione.
In certe realtà il DPO ha un ruolo strategico: non è solo un controllore, ma un soggetto a contatto con il vertice aziendale che diviene parte dei processi amministrativi ed aiuta l’azienda sia ad operare nell’ambito della legge, sia a tutelarla proteggendo asset immateriali come i dati (profili, statistiche, preferenze…) e spesso la reputazione. Troppe aziende sottovalutano il danno derivante da una perdita di dati, da un fermo di server o un danno reputazionale.
Finalmente anche alcuni vertici aziendali si sono accorti che non ci si può affidare a servizi gratuiti offerti in modalità best effort (gmail, wetransfer, dropbox) e poi lamentarsi che non funzionano sempre, che non trattano i dati in modo corretto o che sono stati violati. Invero, c’è da dire che molte realtà hanno già dei livelli di sicurezza IT e di tutela dei dati più che adeguate per la sfida del GDPR: infatti molte delle tutele del GDPR sono innanzitutto regole di buon senso e di buona gestione IT (regole di cyber igiene), che dovrebbero essere adottate a prescindere dagli obblighi normativi.
GDPR: OBBLIGO O OPPORTUNITÀ?
Come sempre vi sono due modi di vedere le cose: costoso obbligo o interessante opportunità.
Noi abbiamo voluto interpretare l’adeguamento al GDPR come una opportunità: cogliere l’occasione per migliorare i sistemi e le procedure ed investire per mettere ulteriormente in sicurezza i dati e tutelare la privacy. Per lo sviluppo di un’economia digitale anche nel nostro paese questo salto culturale era necessario. I Dati sono una ricchezza: non si dice da anni che sono il nuovo petrolio?
