Last Updated on Marzo 2, 2018
Ormai è cosa nota: mancano poco più di tre mesi all’efficacia del nuovo Regolamento Generale sulla Protezione dei Dati (cd. GDPR).
Quello che colpisce, ad oggi, è che – come pare confermato anche da alcuni dati che circolano in rete – risultano molte le aziende che non hanno ancora provveduto a mettersi in regola con le disposizioni del Regolamento.
L’impressione è che, se da un lato l’offerta di assistenza si è moltiplicata arrivando a coinvolgere società che si occupano più di servizi IT che non di consulenza legale, dall’altro vi sia una generale tendenza a ritenere che, in qualche modo, la scadenza del 25 maggio valga solo per le big data e che, almeno nei primi mesi, non vi saranno controlli e sanzioni.
Il Legislatore italiano e il Garante privacy
Probabilmente questa concezione è in parte dovuta anche all’atteggiamento del nostro Legislatore così come a quello del nostro Garante.
Il primo ha posto in essere alcuni interventi (a partire dalla Legge di delegazione europea dello scorso ottobre 2017) ma, da una parte non è ancora intervenuto su alcuni aspetti importanti (ad es. la sopravvivenza delle disposizioni del Codice Privacy non incompatibili con il Regolamento), dall’altra il provvedimento più pregnante emanato sin ora, l’inserimento nella Legge di Bilancio di un silenzio assenso sulle Valutazioni d’Impatto sulla protezione dei dati, rischia di essere in contrasto con il Regolamento laddove il ristretto lasso di tempo (15 giorni) previsto per l’istruttoria e l’eventuale parere negativo non fosse sufficiente ad un’analisi approfondita del trattamento.
Il secondo è stato, sino ad oggi, sostanzialmente inattivo (le uniche linee guida organiche restano quelle, peraltro piuttosto generiche, pubblicate a metà dello scorso anno), pur stimolato sul punto proprio dalla Legge di Bilancio.
Il ruolo di fornire pareri e indicazioni sulla normativa pare per ora integralmente affidato all’organo competente a livello UE, il Gruppo di Lavoro ex art. 29 anche se, lo si ribadisce, su molti punti sarebbero opportuni indicazioni e interventi a livello nazionale.
L’approccio alla privacy del GDPR
Eppure non esistono elementi concreti dai quali desumere che vi saranno, per le piccole e medie imprese (di cui il tessuto economico del nostro Paese è notoriamente ricco), esenzioni specifiche, maggiore flessibilità o che non vi saranno controlli e sanzioni. Anzi.
La Comunicazione della Commissione al Parlamento Europeo del 24 gennaio scorso parla di un piano di finanziamento dell’UE mirato proprio ad innalzare il livello di consapevolezza proprio di tali operatori in merito agli obblighi previsti dal Regolamento.
In aggiunta, tra le poche indicazioni significative del Garante vi è quella di adottare il Registro delle attività di trattamento, previsto dal Regolamento soltanto per le aziende che impieghino almeno 250 dipendenti, anche al di sotto di tale limite.
Se si considera, poi, che l’approccio al tema introdotto dal GDPR è totalmente diverso da quello del Codice privacy allora si comprende che è necessario che tutti gli operatori economici si adeguino e in fretta.
Al di là delle novità più note e sulle quali si è detto tanto, come la necessità di introdurre procedure per il caso di data breach oppure di Valutazioni d’impatto, il nuovo Regolamento impone di scomporre e ridefinire totalmente l’organizzazione aziendale e i processi, ponendo il flusso dei dati e il suo trattamento al centro della vita dell’azienda.
Gli ormai celebri principi dell’accountability, della privacy by design e by default, comportano la necessità di porre in essere misure di sicurezza più efficaci, così come la creazione di team/dipartimenti e procedure ad hoc (per la gestione della privacy, delle crisi o anche delle richieste degli interessati) oppure l’assegnazione di nuove mansioni, con conseguente modifica degli organigrammi.
Senza contare che la nuova norma comporta certamente, oltre ad adeguamenti dell’architettura informatica e della documentazione, anche modifiche dei luoghi di lavoro e degli spazi fisici dove in genere i dati vengono conservati e trattati.
C’è ancora tempo?
L’introduzione del nuovo Regolamento coinvolge tutti e comporta un cambiamento radicale nella gestione della privacy all’interno delle aziende.
C’è ancora tempo, ma per chi non avesse ancora iniziato il proprio processo di adeguamento sarà necessario provvedere subito: il 25 maggio 2018 è dietro l’angolo.
“