Privacy, tempo scaduto

Con l’entrata in vigore il 25 maggio del nuovo Regolamento europeo sulla protezione dei dati, le imprese sono chiamate ad allinearsi con una normativa molto più stringente, la cui mancata osservazione può letteralmente costare molto caro in termini di sanzioni.  E dunque? Quali sono i consigli degli esperti?

‘‘Si tratta di una grande opportunità per le imprese, per rivedere i loro sistemi organizzativi”, queste le parole di Giovanni Buttarelli, Garante Europeo della protezione dei dati, pronunciate qualche settimana fa nel corso di un evento sul tema della privacy. Un’opinione controcorrente rispetto alla dilagante preoccupazione delle aziende per un argomento indubbiamente al centro dell’attenzione negli ultimi mesi, che ha rubato più di una notte di sonno agli esperti e ai consulenti delle imprese di tutta Italia. Si dà il caso infatti che lo scorso 25 maggio sia entrato in vigore il nuovo Regolamento europeo in materia di protezione dei dati personali, eppure, ancora a pochi mesi da questa data fatidica, un’azienda italiana su due risultava impreparata. A rivelarlo era stato il sondaggio “EY Global Forensic Data Analytics Survey 2018”, basato sulle interviste a 745 top manager di 19 paesi diversi. Poco consola che le imprese italiane non siano le sole a rischiare di non essere pronte. Solamente il 48% del campione europeo, interrogato riguardo ai rischi legali, di compliance e di frode e all’eventuale utilizzo di strumenti di Forensic Data Analytics (FDA), ammetteva, infatti, durante la stessa indagine, di avere attuato un piano per conformarsi al General Data Protection Regulation (GDPR). E questo, nonostante le sanzioni per la non osservanza della nuova regolamentazione possano rivelarsi molto gravose: fino al 4% del fatturato dell’azienda colta in fallo. Ma cosa spaventa tanto le imprese italiane? Il fatto che i dati personali, in piccola o larga parte, siano presenti comunque in ogni azienda. Di vitale importanza, dunque, è imparare a trattarli nel modo corretto, in primis per evitare di “fare danni irreparabili”.

Un cambiamento di paradigma

Le imprese italiane e non solo, insomma, si trovano a dover fronteggiare un vero e proprio cambiamento di paradigma. Che ha preso avvio con una modifica del vocabolario utilizzato finora, come spiega Laura Di Liddo, Data Protection Officer: “Si tratta di una norma, che seppur non nuova, è costruita su istituti non consueti nella nostra tradizione giuridica. Pensiamo ai concetti di accountability, di privacy by design e by default che ci mettono in crisi anche solo rispetto alla terminologia e che devono portare le imprese a ragionare e ad adottare un approccio diverso rispetto a quello che è stato usato finora. Non di check-list, ma di capacità di raggiungimento degli obiettivi e di documentazione di ciò che si è fatto”.

Pmi in difficoltà

“Rispetto all’implementazione del GDPR da parte degli operatori italiani”, si legge nella recente Audizione Parlamentare di Confindustria, firmata da Antonio Matonti, Direttore Area Affari Legislativi di Viale dell’Astronomia “si registra un fenomeno a doppia velocità: da una parte, le imprese più grandi e strutturate, che sin da subito hanno iniziato a definire procedure e modelli di compliance e che, salve le difficoltà derivanti dal ritardo registrato nella definizione del quadro giuridico, sono pronte ad approfittare questo salto di qualità; dall’altra, le imprese di medie e piccole dimensioni che, pur avendo dimostrato sin da subito un interesse nei confronti del nuovo quadro regolatorio, manifestano ancora molte difficoltà – operative ed economiche – nelle attività di compliance e che, pertanto, vanno sostenute”. Insomma, a trovarsi in difficoltà in questa fase di coordinamento tra il nuovo Regolamento europeo e l’attuale normativa italiana sulla privacy sono innanzitutto le piccole e medie imprese. Sono queste realtà a rischiare grosso. O comunque, più delle altre.

I rischi dell’inadempimento

“L’obiettivo del Regolamento è proteggere le persone fisiche – ribadisce Di Liddo –, perciò il rischio principale che si presenta se non si segue adeguatamente il nuovo Regolamento europeo è legato al fatto che dai trattamenti di dati effettuati all’interno delle aziende possano scaturire danni agli interessati. Il pericolo per l’impresa è una sanzione, più gravosa con la nuova Regolamentazione ma è anche un rischio reputazionale di caduta di immagine sul mercato”. In altre parole, come precisa Alberto Piamonte, Key Map Team Consultant, per evitare di risultare inadempienti verso le nuove normative, è necessario che “chi gestisce i dati di altre persone, abbia sempre presente che trattando in maniera scorretta quei dati, può creare realmente dei danni”. Per primo a se stesso.

Consigli per non sbagliare

Quali sono allora le raccomandazioni per non cadere in errore e farsi trovare preparati? “È necessario cambiare completamente approccio – spiega ancora Laura Di Liddo –. La privacy non è più semplicemente un insieme di documenti, non va gestita e pensata solo come un adempimento burocratico. Ma deve, invece, essere vista come l’occasione di aumentare il livello di sicurezza nei trattamenti dei dati personali gestiti. È importate guardare ai nuovi adempimenti in quest’ottica”.

A chi si possono rivolgere le imprese

Non lasciare sole le imprese: questo l’obiettivo che si è imposta l’Unione degli Industriali della Provincia di Varese. Sul sito è disponibile per le aziende associate un’area riservata dove è possibile scaricare monografie, modulistiche, slide, documenti utili e linee guida. Oltre a brevi video e infografiche. Un’opera di informazione continua e costantemente aggiornata. Vista la complessità del tema, inoltre, l’associazione datoriale ha deciso di creare una task force, mettendo a disposizione delle imprese interventi di consulenza e corsi di formazione organizzati dalla propria società di servizi: la SPI – Servizi & Promozioni Industriali. Per ulteriori informazioni: privacy@spi-web.it.