Normativa

Manca un anno al GDPR: nessuno spazio per rinvii o scappatoie

GDPR non c’è spazio per rinvii. Le imprese italiane non sono ancora pronte al nuovo regolamento europeo per la protezione della privacy, racconta Anna Italiano, legal consultant di P4i

Pubblicato il 30 Mag 2017

Gianluigi Torchiani

gdpr

Le imprese italiane sono pronte al GDPR, il nuovo regolamento europeo sulla protezione dei dati? A meno di un anno dalla piena applicabilità della normativa, la risposta dovrebbe essere positiva, considerato anche il grande clamore mediatico. Eppure, come racconta a Digital4Trade Anna Italiano, avvocato e legal consultant di P4I, la situazione è tutt’altro che rosea, con molte imprese che al momento appaiono del tutto impreparate all’appuntamento con il 25 maggio del 2018. Ma cosa succederà esattamente in questa data? «Oggi il regolamento è formalmente in vigore ma non ancora applicabile, perché il legislatore europeo ha voluto lasciare due anni di tempo al mercato per prepararsi. Ma dal 25 maggio dell’anno prossimo ci sarà la piena applicabilità del regolamento: questo significa che diventano applicabili gli adempimenti previsti dalla normativa e anche le tanto temute sanzioni». Dunque, tra meno di dodici mesi, il GDPR entrerà in vigore e non ci sarà bisogno di nessun passaggio ulteriore nel Parlamento nazionale. L’Italia, così come tutti gli altri Paesi della Ue, potrebbe stabilire in futuro (per il momento ancora non è stato deciso nulla) dei tetti autonomi per le sanzioni, dal momento che il Regolamento europeo si limita a precisare la soglia massima, magari adattando il codice della Privacy.

Anna Italiano, Legal consultant at Partners4Innovation

Il rischio di arrivare impreparati

Ma è comunque probabile che le sanzioni restino comunque abbastanza uniformi in tutto il Vecchio Continente, in sintonia con lo spirito del Regolamento. Per quanto riguarda la voce che ogni tanto riaffiora su una possibile proroga o rinvio dell’applicabilità del regolamento, secondo l’avvocato di P4I non è altro che una leggenda metropolitana del tutto priva di fondamento, quindi le aziende devono mettersi l’anima in pace. E piuttosto, devono impegnarsi per essere compliant con la nuova normativa: la percezione di Italiano è che «Buona parte delle imprese italiane non arriveranno pronte alla scadenza. C’è una diffusa consapevolezza sulle sanzioni che generalmente fanno paura, ma invece riscontriamo una scarsa conoscenza degli adempimenti previsti dalla normativa. Adempimenti che, tra l’altro, in alcuni caso sono molto complessi e richiedono del tempo per essere implementati, basti pensare alle grandi aziende che devono gestire dati provenienti da molteplici fonti. Ecco perché chi non si è mosso per tempo e non ha le caratteristiche e la struttura di una pmi rischia oggi di arrivare impreparato all’appuntamento. Cosa significa per tempo? Le aziende che sono state più attente al GDPR hanno incominciato a prepararsi già all’indomani della sua entrata in vigore».

Procedure più snelle per le Pmi

Se è vero che il regolamento è applicabile a tutte le imprese, è indubbio però che le Pmi, potranno godere di una serie di semplificazioni: le società con meno di 250 dipendenti non saranno tenute agli adempimenti legati alla redazione e all’adozionedel registro dei trattamenti, anche se in generale saranno anche loro tenute a mantenere un approccio risk based. Per quanto riguarda le imprese più grandi, invece, che magari hanno sentito parlare del GDPR in tutti questi mesi ma che si sono “svegliate” soltanto oggi, cosa devono fare per essere in linea con la normativa? Sicuramente il primo adempimento utile da mettere in atto, finalizzato ad avere un quadro completo della situazione, è fare il registro dei trattamenti, mappando dunque tutti i trattamenti dati posti in essere dall’azienda.

Lo speciale webinar

Un’operazione che può essere tranquillamente fatta anche internamente, quando si possiedono le competenze necessarie. Sulla base del Registro bisogna poi effettuare l’analisi del rischio e, nelle ipotesi previste dalla norma, la valutazione di impatto, in modo da essere pronti a trattare in maniera adeguata anche i dati più “critici” e sensibili. Infine, per quelle aziende soggette (ad esempio Pubblica amministrazione e mondo della sanità), occorre procedere alla nomina di un data protection officer e definire la sua collocazione all’interno dell’azienda.

Quante aziende potranno essere pronte al GDPR tra un anno? L’esperta di P4I non si sbilancia con previsioni, ma mette in evidenza come – secondo alcune previsioni di Gartner – meno del 50% delle aziende saranno pronte al GDPR al 25 maggio 2018. Delle opportunità e dei rischi derivanti dal GDPR si parlerà in occasione di un apposito webinar organizzato da Digital4Trade in collaborazione con ManageEngine in programma il prossimo 6 giugno, dalle ore 12 alle 13. Per informazioni e iscrizioni occorre cliccare su questa pagina.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 2