E’ responsabilità la parola del momento per le imprese. Nel gestire il rispetto delle regole, per le singole realtà aziendali, massima autonomia e altrettanti evidenti rischi. E’ il caso della privacy, uno di quei temi “un po’ antipatici”, per dirlo con le parole dell’esperta Laura Di Liddo, consulente certificata in materia e ben condivise nella comune percezione. Forse per questo, a poco più di un anno dall’entrata in vigore effettiva della nuova norma, prevista nel maggio 2018, solo il 9% delle imprese ha già strutturato un progetto per adeguarsi, secondo la ricerca dell’Osservatorio Information Security & Privacy del Politecnico di Milano. L’aggravante, a detta dello studio è che un’impresa nazionale su cinque non ha nemmeno idea delle implicazioni del nuovo regolamento. Eppure il tempo stringe.

La piena applicazione della nuova normativa partirà tra poco più di un anno, eppure solo il 9% delle imprese italiane è preparata al cambiamento. Un rischio, anche economico. Perché non mettersi in regola può costare sanzioni che possono arrivare al 4% del fatturato

Ma andiamo con ordine, per chiarire un concetto non certo inedito e che - più o meno compreso nella sua importanza - è nel vocabolario comune del privato cittadino, del settore pubblico e del mondo delle imprese ormai da 20 anni. La prima legge che regolamenta la protezione dei dati è quella del ‘96. Un testo che rimarrà nel ricordo di molti come la “postilla del curriculum”. Un po’ farraginosa, è la legge che ha reso il tema più ostico di quanto non fosse. “Ha dato l’idea che fosse un orpello, qualcosa di assolutamente inutile”, spiega Di Liddo, che però sottolinea: “Tuttavia, ha avuto il vantaggio di aver introdotto nella cultura generale il tema, focalizzando l’aspetto della sicurezza delle informazioni, fino ad allora sottovalutato”.

Secondo step legislativo nel 2004. “Arriviamo allora ad un codice nazionale derivato dal recepimento di una direttiva comunitaria, quello tuttora applicato”, racconta la consulente. “Si tratta di qualcosa di completamente diverso, molto più chiaro e organico rispetto alla normativa precedente, realizzato con obiettivi di semplificazione e sistematicità. Eppure, anche qui c’è un ‘ma’. Il codice infatti non tiene il passo con l’evoluzione tecnologica: l’accelerazione iperbolica degli ultimi anni ha investito le relazioni, il modo di lavorare, l’economia tutta. Il codice aiuta ma non è sufficientemente adeguato”. Interviene, dunque, l’Unione Europea con un terzo passaggio, costituito dal Regolamento europeo approvato nell’aprile 2016: l’esigenza è quella di normare in modo più incisivo e, parallelamente, di accrescere la consapevolezza del valore dei dati personali. “Aumentata la necessità di protezione, cosa sotto gli occhi di tutti – spiega Di Liddo - ecco la risposta, questa volta comune a tutti gli Stati, dell’Europa.” Quali sono i cardini di questa iniziativa? Trasparenza e immediata efficacia.

La novità è che la privacy diventa un vero e proprio processo che caratterizza tutta la vita e l’organizzazione aziendale

“La novità - e questo è il delicato passaggio che le imprese devono assolutamente comprendere - è che la privacy diventa non un insieme di cavilli solo formali, ma un vero e proprio processo che caratterizza tutta la vita e l’organizzazione aziendale. L’impresa, chiamata a tutelare i dati personali della persona fisica, deve essere in grado di dimostrare di aver compreso e fatto suo questo cambiamento: deve imparare a mappare tutte le attività che implicano il trattamento di dati personali, deve avere sempre ben chiaro ‘chi, cosa, dove, quando e perché’ e deve poterlo, soprattutto, dimostrare nei dettagli, in ogni momento”. Se in teoria questo passaggio culturale e metodologico sembra semplice, la sua applicazione può mettere in seria difficoltà le aziende, grandi o piccole, e le sanzioni per chi non si adegua alla normativa sono pesantissime: fino al 4% del fatturato. A queste si aggiunge il danno d’immagine: l’azienda che non protegge i dati dei consumatori, non è ovviamente ben vista né da questi, né da eventuali fornitori. D’altra parte ci sono brand che ne fanno tesoro in positivo. “La competitività - sottolinea l’esperta - si misurerà sempre più anche sulla capacità di garantire la sicurezza dei dati. Pensiamo alle aziende informatiche ad esempio, ma non solo: oltre ad applicare le regole in maniera efficace possono farne leva di business.”

 

Il ruolo della formazione

Con la piena applicazione della nuova normativa nel maggio 2018, viene spontaneo chiedersi chi si occuperà all’interno di una struttura aziendale, specialmente in una Pmi, del corretto svolgimento del processo privacy. “La nuova normativa definisce la figura di un Dpo (Data Protection Officer), che può essere sia un interno che un consulente esterno investito di questa funzione”, sottolinea Laura Di Liddo, esperta in tema di privacy. “Con SPI - Servizi & Promozioni industriali (società di servizi alle imprese dell’Unione degli Industriali della Provincia di Varese ndr), abbiamo definito un percorso formativo ad hoc che va dalle attività d’aula alla consulenza vera e propria in azienda. E’ necessario, infatti, che nel passaggio da forma a sostanza del concetto di privacy, le imprese conoscano il contesto, pianifichino il proprio percorso di adeguamento, lo realizzino e formalizzino le policy di controllo: farlo da soli non è effettivamente semplice. Proprio per questo, la legge disegna la figura di un responsabile dei dati: è importante che nelle aziende ci sia un presidio privacy, un esperto che garantisca il rispetto della normativa nel suo complesso, coordinando le diverse aree aziendali, e facendo i controlli”. Fermo restando che si tratta di un processo in evoluzione e pertanto questo tipo di attività deve essere affrontata con costanza e non una volta per tutte. “Questa figura - continua l’esperta - diventa obbligatoria nel settore pubblico, nelle imprese che trattano dati particolarmente sensibili (salute, dati giudiziari, credo religioso, ecc.) e in quelle che si occupano di monitoraggio e profilazione”. Per le altre? “Il Dpo è comunque caldamente consigliato: può essere anche un consulente o una società esterna. E’ difficile per una Pmi fare da sola: le azioni da mettere in pratica sono oltre un centinaio ed il rischio evidente è quello della dispersione. Oltre al processo stesso, la vera difficoltà, è poi la capacità di documentarlo”. Come scegliere quindi il consulente giusto per la propria realtà? “Oltre ad avvalersi della collaborazione di professionisti esperti, l’impresa deve puntare su un consulente che sappia valorizzare quanto trova già in azienda, cogliendolo dal precedente adeguamento privacy o dalla presenza di documenti e procedure richiesti da altri sistemi di gestione: non si tratta semplicemente di distruggere e rifare, ma anche di mettere insieme l’esistente per ridurre l’impatto economico di questa attività”.