Giuseppe Perdicaro
Con l’imminente operatività del Regolamento Generale sulla Protezione dei Dati (GDPR) in ambito europeo, a decorrere dal 25 maggio 2018, si prepara una vera e propria rivoluzione nel trattamento dei dati personali e nella loro tutela.
Le aziende dovranno ripensare e reimpostare un modello di governance prevedendo percorsi, professionalità e competenze specialistiche al fine di rendersi conformi alla nuova legge e, soprattutto, di rendersi responsabili e consapevoli in tutte le fasi di gestione e trattamento di dati personali, al fine di evitare o limitare le violazioni di dati raccolti, circoscrivendone le conseguenze dannose per la sicurezza dei diritti e delle libertà fondamentali delle persone.
Il GDPR tende infatti a realizzare un bilanciamento degli interessi delle imprese, quali titolari o responsabili del trattamento, con i diritti e le libertà degli interessati, mettendo qualunque persona fisica nella condizione di compiere un consapevole esercizio dei poteri di controllo sui propri dati, garantendogli il diritto all’informazione, il diritto all’accesso, alla portabilità, alla rettifica e alla cancellazione dei dati che lo riguardano, nonché il diritto alla limitazione del trattamento e il diritto di opposizione. Sebbene la normativa europea punti ad incentivare il vantaggio competitivo delle aziende e la creazione di un mercato digitale europeo uniforme, il cambiamento a cui sono chiamate imprese e pubbliche amministrazioni è reso, d’altro canto, più gravoso dalla mancata emissione, ad oggi, del decreto di coordinamento del GDPR alla normativa nazionale in materia di Privacy (sebbene approvato in via preliminare dal Consiglio dei Ministri del 2 marzo 2018).
Il ritardo con cui si sono mosse le istituzioni comporta quindi un maggior sforzo per le imprese che devono adeguarsi alla normativa europea in tempi rapidi, oltretutto in un contesto dove l’attuale assenza di una disposizione legislativa nazionale di riferimento viene compensata con una matassa di regole su svariati aspetti della privacy (come ad esempio i provvedimenti adottati dal Garante per la Protezione dei dati personali ritenuti compatibili con il GDPR, le indicazioni fornite dal gruppo di lavoro europeo WP29, le linee guida fornite dal Garante Europeo, le direttive europee in materia di E-Privacy, ecc.). Ciò nonostante ogni impresa si trova nella situazione di dover decidere autonomamente i percorsi per rendere la propria organizzazione responsabile o “accountability” al GDPR, scegliendo se osservare o meno un certo adempimento, ovvero: come e quando chiedere agli interessati il consenso per il trattamento dei dati, nominare il DPO o “Responsabile della Protezione dei Dati”, quando e se provvedere a una valutazione d’impatto o “DPIA” a tutela dei diritti e delle libertà fondamentali degli interessati, ecc.
Il principio cardine su cui l’azienda dovrà intraprendere il cammino di adeguatezza alle nuove normative europee si fonda infatti sulla cd. “Responsabilizzazione” (“Accountability”), dove l’imprenditore quale Titolare del trattamento (o Responsabile del Trattamento) è chiamato a decidere in prima persona le misure tecniche ed organizzative necessarie per assicurare, e provare, una raccolta e un utilizzo dei dati conforme al Regolamento che riduca i rischi per i diritti e le libertà degli interessati. In tale prospettiva il Regolamento Europeo, per quanto possa essere comprensibilmente percepito come uno dei tanti oneri burocratici per le imprese, reca il vantaggio di porre “la gestione del dato personale” al centro dei fattori di produzione, evidenziandone la fondamentale importanza all’interno dell’attività di impresa e della sua capacità di creare ricchezza, costruendo beni e servizi disegnati sulla base dei bisogni del cliente o dell’utente grazie ai dati personali raccolti.
I diritti e le libertà degli individui, ovvero la loro sicurezza, diventano pertanto un valore aziendale da difendere, anche nei confronti dell’applicazione di nuove tecnologie che pongono le imprese davanti a minacce informatiche sempre più sofisticate per la sicurezza dei dati personali, quali elementi fondamentali del patrimonio aziendale.
Il GDPR può rappresentare quindi anche un’occasione per le imprese che vogliono avvicinarsi al nuovo concetto di Impresa 4.0 e che intendono distinguersi sul mercato perfezionando la governance e il proprio modo di lavorare, nonché ottimizzando il rapporto con i propri fornitori, clienti e stakeholder, con impatto positivo sulla propria immagine e reputazione aziendale.
Per quanto non si possa negare che i numerosi obblighi previsti dal GDPR, e soprattutto gli importanti aspetti sanzionatori, abbiano un impatto rilevante, si tratta comunque di adempimenti che il Regolamento modula in ragione delle caratteristiche del trattamento dei dati e dell’organizzazione aziendale, e che vengono attenuati e facilitati dalla previsione di nuove figure introdotte per fungere da elemento di supporto interno e di raccordo tra le necessità aziendali e le finalità di tutela stabilite dal GDPR (come il Responsabile della Protezione dei dati: DPO). Essere conformi al GDRP, ovvero responsabili nel trattare, custodire e proteggere i dati, significa anche elevare il valore aziendale nell’ambito di tutte quelle operazioni straordinarie che possono intervenire nelle varie fasi di esistenza di un’impresa (quali cessioni, conferimenti d’azienda, trasformazioni, ecc.) e che spesso rappresentano per l’imprenditore il riconoscimento economico di una vita di lavoro e impegno.
Il GDPR rappresenta quindi non solo un’occasione importante per le aziende per migliorare il proprio modo di lavorare e di competere sui mercati, ma soprattutto per rendere più sicuri e tutelati i dati, i diritti e le libertà delle persone attraverso imprese sempre più “responsabili”.