Privacy, l’offensiva della Ue
Ogni impresa dovrà dotarsi di un manager. Multe salate. Busato: molte domande
Il 25 maggio 2018 entrerà in vigore il nuovo regolamento europeo sulla protezione dei dati. Una sfida per le aziende pubbliche e private che dovranno prevedere una nuova figura professionale e rischiano sanzioni salatissime. E oltre alle associate di Confindustria, è in corsa per l’adeguamento anche l’Azienda Sanitaria.
TRENTO Cartelle digitali, consensi informati, geolocalizzazioni. Sono tantissime le situazioni che chiamano in ballo, quotidianamente, la tutela della privacy. Un campo ancora più prezioso, eticamente ed economicamente parlando, nell’epoca dei big data. Ragione per cui l’Europa ha deciso di mettere paletti più rigidi con il regolamento 679/2016, detto anche «General Data Protection Regulation». Un testo a cui tutte le realtà pubbliche e private che hanno a che fare con il trattamento dei dati sensibili di clienti, utenti o pazienti dovranno adeguarsi entro il 25 maggio 2018, pena sanzioni salatissime, fino a 20 milioni di euro o al 4% del fatturato totale annuo. E il mancato rispetto delle nuove norme potrà avere ripercussioni anche sulla reputazione della compagnia che potrà essere ritenuta poco attenta alla privacy dei suoi utenti.
Ma andiamo con ordine: quali sono le novità introdotte dalla nuova norma? «Anzitutto, il principio di accountability che responsabilizza il titolare del trattamento (o data controller) nella gestione dei dati personali. Da ciò discende l’obbligo per le aziende di tenere un apposito registro in cui indicare quali dati si gestiscono e come» spiega Ada Rosa Balzan, amministratrice di Dpa Consulting, la prima società nata in Trentino per fornire supporto alle imprese nella fase di adeguamento. Da maggio, infatti, l’onere della prova sarà a carico delle aziende che dovranno essere in grado di dimostrare di aver adottato strumenti in linea con la nuova disciplina.
«Oltre a un’iniziale e molto importante fase di audit, la norma poi richiede l’inserimento in azienda del Data Protection Officer (Dpo), figura professionale che dovrà affiancare le imprese quotidianamente — rileva Alessandro Borgese, avvocato di Arco socio promotore di Federprivacy — si tratta di un esperto che dovrà verificare l’attuazione del regolamento, sensibilizzare i titolari e i dipendenti di ogni impresa rispetto ai nuovi obblighi e interfacciarsi, se necessario, con il Garante della privacy». E secondo quanto raccomandato dal regolamento europeo, il Dpo dovrà ricoprire una posizione dirigenziale e godere della massima indipendenza, onde evitare che possano verificarsi situazioni di incompatibilità o conflitti di interessi. Si stima, infatti, che in tutta Italia potranno nascere quarantadue mila nuovi posti di lavoro per Dpo, «anche se — chiarisce Borgese — ancora non esiste un albo o un ente certificatore e questo nonostante l’Europa raccomandi di affidarsi a professionisti dalla comprovata conoscenza specialistica».
Insomma, il percorso procede in maniera farraginosa, tanto a livello normativo quanto a livello aziendale. Secondo l’Osservatorio Information Security del Politecnico di Milano, infatti, solo un’azienda italiana su cinque conosce la normativa e appena il 9 percento ha iniziato un processo di adeguamento. Un ritardo che, si spera, possa essere colmato al più presto: «In Trentino — fa sapere il direttore generale di Confindustria, Roberto Busato – le richieste di chiarimento avanzate dalle aziende sono state moltissime, specie negli ultimi mesi. Abbiamo quindi organizzato diverse iniziative volte a sensibilizzare gli associati rispetto al cambiamento in atto e abbiamo già calendarizzato un nuovo appuntamento di approfondimento.
Le realtà interessate, del resto, afferiscono alle aree più diverse, a prescindere da quale sia la loro dimensione: anche le aziende più piccole e giovani, se hanno a che fare con dati sensibili, dovranno adeguarsi. «Ma tra i settori che dovranno fare più attenzione alla nuova normativa, spiccano il turismo e la sanità, con un focus particolare sul termale, vista l’alta profilazione degli utenti» puntualizza Balzan, la cui società è stata scelta da Federturismo per avviare un percorso di consulenza e formazione per tutte le aziende del settore. Dopotutto, basti pensare alla prenotazione di un viaggio, alla richiesta di una prestazione medica, ai servizi di geo-localizzazione attivati via smartphone per recensire una determinata location, per capire quanto questi settori possano essere in prima linea in fatto di privacy.
Nonostante si avvicini la scadenza, però, restano ancora diversi punti oscuri: dalla possibilità di identificare il Dpo internamente o esternamente all’organico aziendale all’interazione di questa normativa con altre discipline riguardanti la sicurezza e la gestione delle informazioni. E questo, soprattutto alla luce dei sempre più frequenti attacchi informatici. Le minacce contro la sicurezza IT e la protezione dei dati sono infatti in continuo aumento e richiedono alle aziende un’attenzione particolare all’aggiornamento delle tecnologie.
«Molte delle nostre imprese — riflette infine Busato — hanno dimostrato di essere più che attente al tema ma siamo in attesa di chiarimenti da parte del Garante italiano e di un provvedimento normativo che regoli i rapporti tra il vecchio codice privacy in via di superamento e il nuovo regolamento europeo».
Il tutto, senza dimenticare che il regolamento rinnova un altro tema delicatissimo: il diritto all’oblio per il quale l’interessato, in casi specifici, potrà ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano.