feb 2018 pag 28 - Nuova normativa sulla privacy enti e aziende in ritardo





Il 25 maggio, data di entrata in vigore del nuovo regolamento europeo sulla privacy (UE 2016/679), rappresenterà una sorta di spartiacque per enti ed aziende, alle prese con le novità di una normativa che è stata reimpostata in modo radicale. Il testo punta a introdurre regole più chiare e semplici in materia di informativa e consenso elevando nel contempo il livello di protezione dei dati personali dei cittadini europei. “I trenta articoli che lo compongono – spiega Gianluigi Marino, partner Osborne Clarke – sono per numero inferiori a quelli contemplati dalla norma precedente, che risale al 1995”. Una scelta all’apparenza paradossale ma che persegue una filosofia ben precisa. “Allo scopo di evitare l’obsolescenza normativa si è optato per la massima astrazione. Fissati i principi di riferimento, per ogni trattamento dati, dal più semplice al più complesso, bisognerà trovare la base giuridica adatta”.
Il quadro di riferimento cambia, quali sono le novità principali?
Viene recepito il principio di accountability: ovvero la responsabilità è estesa a tutto il processo di trattamento delle informazioni, a cominciare dalla definizione stessa di dato personale, fino al rispetto della norma da parte di terzi in casi di esternalizzazione del servizio. In pratica, il titolare dei dati smette di controllare le prescrizioni per trasformarsi in un produttore di valutazione.
Quali le differenze con il modello americano?
Il sistema europeo è molto più rigido, anche per quanto riguarda i limiti imposti dalle autorità di controllo. Negli Stati Uniti ci sono forme di verifica più blande, soprattutto nei trattamenti per finalità di marketing. È questo contesto più fluido che ha permesso all’e-commerce di prosperare e che potrebbe creare frizioni ai giganti del settore che operano oltre l’Atlantico. Scopo del nuovo regolamento è proteggere i cittadini, a prescindere da chi tratta e da chi monitora: prevede impostazioni molto più restrittive e si applica anche ai soggetti extraeuropei nella misura in cui    offrono beni e servizi a utenti che vivono in territorio comunitario. 
A che punto è il recepimento da parte delle aziende?
C’è un ritardo a tutti i livelli. L’impostazione rinnovata della normativa presuppone in certi casi sostanziali modifiche alla stessa infrastruttura tecnologica dell’impresa. Per le realtà che hanno maggiore dimestichezza con procedure e sistemi di reportistica l’adeguamento sarà più semplice ma, in generale, non è un processo che possa essere improvvisato. Da questo punto di vista la data del 25 maggio rappresenta davvero una rottura degli equilibri: dipenderà anche dall’approccio che sceglierà il Garante.
Prevede una raffica di multe?
Qualcuno considera l’entrata in vigore del regolamento come una sorta di Apocalisse. Di solito l’orientamento dell’Autorità non è sanzionatorio, interviene in modo pesante solo dopo il necessario periodo di ambientamento con le novità. D’altro, canto non si tratta di organismi avulsi dal contesto: esiste una forte interlocuzione con le associazioni di categoria proprio per monitorare la situazione. Senza contare che l’adeguamento investirà anche gli stessi enti di verifica: vanno preparati i protocolli interni per mettersi in linea con le nuove impostazioni della normativa.
Cosa suggerisce alle imprese? 
È chiaro che chi inizia adesso è fisiologicamente in ritardo. Il consiglio, qualora non si riuscisse a finalizzare il percorso, è di documentare la road map del processo di riconversione evidenziando i tempi tecnici necessari. Una strategia che non annulla il rischio sanzionatoria ma almeno lo mitiga.

Giovanni Grande