Anna Italiano di P4I
Il 25 maggio è stato, per molti mesi, una di quelle date scolpite nell’immaginario collettivo, una di quelle che segnano irrevocabilmente il prima e il dopo. Il dopo, in questo caso, è stata la piena operatività del nuovo Regolamento europeo sulla privacy, noto anche come GDPR. Tra 2017 e 2018 abbiamo infatti assistito a decine di eventi e convegni in materia, dove si è cercato di fare chiarezza su questa normativa, non sempre riuscendoci. Ora che la scadenza è stata superata, la domanda, naturalmente, è: le imprese sono in regola con questo GDPR?
La risposta di Anna Italiano, Senior Legal Consultant di P4I (Partners4Innovation), è interlocutoria: «C’è stata sicuramente una corsa all’adeguamento, che si è concentrata soprattutto negli ultimi sei-otto mesi. In molti casi, le grandi aziende hanno cominciato il percorso nei tempi previsti, con il giusto anticipo, mentre la maggioranza delle imprese ha cominciato a occuparsene soltanto qualche mese prima della scadenza. Che gli ultimi mesi siano stati caratterizzati da una vera e propria esplosione dell’attenzione, anche mediatica, verso le tematiche della privacy e della sicurezza è sotto gli occhi di tutti. C’è da dire, però, che per quanto riguarda le Pmi e professionisti c’è ancora tanta strada da fare, perché i livelli di adeguamento oggi sono ancora sostanzialmente bassi».
Indice degli argomenti
Gli investimenti in arrivo
L’arrivo della nuova normativa ha sicuramente smosso il mercato, osserva Italiano, con tantissimi operatori che hanno cercato di cogliere le opportunità create dal legislatore, magari anche con offerte un po’ improvvisate e azzardate. Si è assistito, naturalmente, anche a una fortissima crescita del settore della consulenza, con una notevole domanda di figure specializzate. Non è mancata anche la richiesta di nuove tecnologie sul lato sicurezza, dal momento che la normativa spinge per un livello maggiore di cybersecurity. La previsione è che questo trend continuerà nel prossimo futuro, perché in molti casi gli investimenti in tecnologia e sicurezza legati ai progetti di adeguamento al GDPR non sono stati ancora effettuati, per ragioni di incompatibilità con i budget 2018, in tante realtà ormai già allocati nel momento in cui sono partiti i progetti. E’ probabile dunque che ulteriori investimenti in sicurezza vengano effettuati nel periodo 2019-2020.
Le sanzioni non sono ancora definite
Sempre in tema di GDPR la grande domanda che per il momento rimane sotto traccia è quella relativa alle sanzioni che, pure, sono state il grande spauracchio che hanno alimentato inizialmente la corsa al GDPR. L’esperta di P4i evidenzia un aspetto poco noto ai più: « Nel nostro Paese non esiste ancora un apparato sanzionatorio specifico per la nuova normativa: ricordiamo che il GDPR stabilisce soltanto i massimali , dunque come saranno concretamente declinate le sanzioni è un qualcosa che è demandato all’attività dei legislatori nazionali. Il Governo, nell’ottobre del 2017, ha ricevuto la delega per l’emanazione del decreto legislativo di adeguamento, che avrebbe dovuto essere emanato entro il 22 maggio 2018, ovvero pochi giorni prima della data di piana applicabilità della nuova normativa europea. In realtà, anche per le note vicende politiche, questa emanazione non c’è stata e la delega è stata prorogata di tre mesi, con la scadenza che ora è dunque prevista per il 22 agosto 2018. Questo vuol dire che nelle prossime settimane si assisterà probabilmente all’emanazione di questo decreto, che sarebbe stato utile avere per tempo».
Le contraddizioni attuali
Al momento in cui scriviamo (metà giugno 2018), infatti, ci ritroviamo in una situazione sostanzialmente ibrida: esiste un regolamento europeo che è sicuramente applicabile e che costituisce la linea guida in materia di trattamento dei dati personali. Però abbiamo il vecchio Codice Privacy (196/2003) che non è stato ancora formalmente abrogato e risulta quindi ancora vigore. Questo codice, tra l’altro, contiene alcune prescrizioni che sono incompatibili con il GDPR. Nel concreto, dunque, gli operatori dovranno disapplicare le parti del codice in contraddizione con il GDPR, senza però avere una certezza normativa a proposito. Le sanzioni ricadono in questo discorso: ci sono alcuni adempimenti normativi che al momento possono essere sanzionati soltanto con quanto stabilito dal 196. E’ comunque auspicabile che, almeno per i primi mesi di applicabilità della nuova normativa, anche le attività dell’Autorità si indirizzino più nel senso di incoraggiare la conformità piuttosto che nel reprimere.
Il GDPR come standard globale
Ma forse, è anche possibile uscire definitivamente dall’argomento sanzioni: « Nelle grandi imprese la consapevolezza sulla privacy e la protezione del dato si è già creata al di là delle sanzioni: si è finalmente compreso come i danni reputazionali e di immagine legati alla perdita del patrimonio informativo aziendale non siano certamente meno temibili rispetto alle sanzioni previste dalla normativa. Massimali che, tra l’altro, sono stati pensati soprattutto per gli over the top, ossia aziende come Facebook, Google, Amazon e tutti grandi player verso i quali le sanzioni di poche decine di migliaia di euro previste dai codici precedenti non potevano dispiegare alcun reale effetto deterrente». L’aspetto forse più sorprendente dell’intera faccenda è che, nonostante il regolamento sia in vigore soltanto da poco tempo, sia già diventato un modello a livello internazionale. Complice anche il caso Cambridge Analytica, che ha dimostrato su larga scala tutti i rischi per la privacy degli utenti. Questo spiega perché, anche dall’altra parte dell’Oceano, si stia cominciando a valutare la possibilità di ispirarsi al GDPR: «La legislazione europea sul trattamento dei dati è sempre stata più protettiva e tutelante rispetto a tantissime altre legislazioni estere, in primis quella statunitense, dove le autorità godono di poteri di controllo delle informazioni, determinati da ragioni di sicurezza nazionali, molto più incisivi e penetranti di quanto non avvenga in Europa. Effettivamente il GDPR viene apprezzato globalmente ed è possibile che, su base volontaria, possa essere preso come modello. Lo dimostrano i casi di alcune aziende statunitensi che, dovendosi comunque conformare al GDPR per quanto riguarda i propri clienti europei, hanno deciso di mantenere uno standard uguale per tutti i propri utenti, compresi quelli americani. Dietro questa scelta ci sono ragioni organizzative ma anche la volontà di lanciare un preciso segnale di trasparenza», conclude Italiano.