LA PRIVACY CHE NON C’È (LA NUOVA LEGGE SÌ, E STRAVOLGERÀ TUTTO)
Bruxelles rivendica il fatto che si tratti del più importante cambiamento in materia di privacy da 20 anni Ma tra le imprese che conoscono le nuove norme solo il 20% afferma di essere già in regola
«Seconda stella a destra, questo è il cammino, e poi dritti fino al mattino», cantava Edoardo Bennato nel 1980. Al mattino del 25 maggio 2018 ci stiamo arrivando, e da quel giorno la privacy non sarà più la stessa. All’alba di quel «D-day» avrà inizio il nuovo mondo a livello di privacy, perché scatterà la piena efficacia del Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GDPR, General Data Protection Regulation), direttamente applicabile anche in Italia, che sostituisce e abroga la vecchia normativa privacy. Un cammino segnato già due anni orsono, da quel 4 maggio 2016, allorquando il testo del Regolamento fu pubblicato sulla Gazzetta Ufficiale dell’Unione Europea, concedendo agli Stati membri due anni per il necessario adeguamento. Il tempo è scaduto, l’alba del nuovo mondo è alle porte.
Sin dalla pubblicazione delle nuove norme, Bruxelles ha rivendicato il fatto che si tratta del «più importante cambiamento» in materia di privacy da 20 anni, a livello di estensione territoriale e di contenuti: tutte le imprese piccole, medie e grandi, dal parrucchiere italiano sotto casa che tiene i dati dei suoi clienti alla multinazionale con filiali in Europa e fuori Europa ma con clienti europei, oltre che a tutta la pubblica amministrazione, saranno obbligate a tenere fede ed applicare il Regolamento.
La domanda è se davvero fra pochissimi giorni tutte le aziende del territorio italiano avranno già intrapreso il cammino segnato due anni fa e saranno pronte per il mattino dei tempi. Da una recente ricerca si è appreso che le aziende private, in particolare le Pmi, sono in forte ritardo sul Regolamento: quasi il 78% dei responsabili delle aziende coinvolte non ha compreso chiaramente l’impatto della nuova normativa o non ne è a conoscenza. Tra le imprese quelle che conoscono il Regolamento, solo il 20% afferma di essere già conforme, mentre il 59% si sta adeguando e il 21% ammette di non essere a norma. Dunque probabilmente troveremo molte imprese impreparate, ed ancora attaccate a quel «vecchio» concetto di privacy fatto di copia-incolla di documenti che il Regolamento vuol proprio scongiurare.
Ma in quel mattino del 25 maggio 2018, così a noi vicino, cosa cambierà?
Il primo grande mutamento risiede nel titolo della legge medesima. Non si parla più solo di «protezione dei dati personali» ma anche di «libera circolazione dei dati», quasi a voler significare che la tutela della riservatezza va di pari passo (né prima, né dopo) con la libera circolazione dei diritti, delle merci e delle persone all’interno dell’Unione Europea.
La seconda grande novità del Regolamento risiede nel nuovo ambito territoriale su cui esso estende la sua applicazione: il Regolamento si applica al trattamento di dati personali effettuato nell’ambito delle attività di un ente con sede nell’Unione, indipendentemente dal fatto che il trattamento dei dati personali sia stato effettuato nell’Unione o meno. Viene inoltre sancito il principio dell’applicabilità del Regolamento anche a trattamenti di dati personali non svolti in Europa se relativi all’offerta di beni o servizi a cittadini europei o tali da consentire il monitoraggio di comportamenti dei cittadini europei.
Il Regolamento, poi, pur lasciando immutate le categorie di soggetti attori della catena delle responsabilità privacy, dal titolare al responsabile del trattamento dei dati, introduce il ruolo obbligatorio per le pubbliche amministrazioni — ed in talune circostanze per i soggetti privati — del Data Protection Officer, detto anche Responsabile della protezione dei dati, da non confondere con il Responsabile del trattamento dei dati; introduce l’obbligo di effettuare una valutazione di «impatto privacy» prima di introdurre una nuova tecnologia o un nuovo processo ad un trattamento; innalza il livello della cosiddetta accountability
(che potrebbe essere tradotto in «responsabilizzazione e obbligo di rendicontazione») che sancisce un salto di qualità nei sistemi di gestione dei dati, ovvero il passaggio da una concezione prettamente formale di mero adempimento ad un approccio sostanziale di tutela dei dati e delle persone stesse; introduce l’obbligo della privacy by design e by default, che può tradursi come l’obbligo per tutti di progettare nuovi beni e servizi tenendo sempre a mente le prerogative della minimizzazione del trattamento dei dati, oltre ad ogni altra norma posta dalla legge sulla privacy; inserisce un meccanismo di certificazione del sistema di gestione della privacy (le cui modalità dovranno essere meglio definite tramite gli organismi di accreditamento europei) nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al Regolamento; da ultimo introduce un meccanismo sanzionatorio senza precedenti.
Dunque si può senz’altro dire che il Regolamento comporterà, più che una nuova tutela alla riservatezza in termini di contenuti, un nuovo approccio nell’organizzazione procedurale della privacy. Ovvero una nuova compliance aziendale che indurrà le aziende ad un conseguente cambio di mentalità. Non saranno più sufficienti le misure tecniche quali l’impiego di password e degli antivirus, ad esempio, ma a contrario, le misure organizzative e tecniche a tutela della protezione dei dati si faranno da «minime» ad «adeguate»: le aziende dovranno essere in grado di dimostrare di avere adottato un processo complessivo di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi.
Forse ci sarà ancora qualcuno che preferirà optare per la sanzione anziché cambiare l’approccio alla privacy della propria azienda, ignorando però che le sanzioni potrebbero financo arrivare a farla chiudere (le sanzioni arrivano fino al 2% del fatturato annuo mondiale dell’esercizio precedente). E allora forse, stavolta, la strategia tutta italiana del «tanto sarà l’ennesima legge da bypassare» scomparirà come d’incanto di fronte al temuto bastone della pena. Ancor più se si pensa che l’illecito trattamento dei dati è un reato e che il Decreto legislativo italiano di adeguamento al Regolamento ne potrebbe inasprire l’ammontare.
Dunque, niente sconti e niente scuse: la privacy ancora non c’è, ma ci sarà a brevissimo. Tutti pronti a correre ai ripari.