GDPR - Note.

La General Data Protection Regulation (GDPR) entrera' in vigore dal prossimo 25 maggio.

Si tratta di novità introdotta con il Regolamento Europeo 2016/679 e sara' direttamente applicabile in tutti gli stati membri dell'Unione Europea ed a tutte le aziende ivi stabilite. Trattandosi di regolamento europeo non necessiterà di recepimento da parte degli Stati membri e verrà attuato allo stesso modo in tutta l’Unione, senza margini di libertà nell'adattamento. La sua ratio è infatti la definitiva armonizzazione della regolamentazione in materia di protezione dei dati personali all'interno dell'Unione Europea. In tal senso, quindi, non vi sarà una normativa italiana in materia ne’, tanto meno, una dilazione in ordine ai tempi di applicazione; vi potranno essere, semmai, dei chiarimenti in relazione ad alcuni aspetti, ad esempio i poteri dell’autorita’ garante nazionale.

Importante rilevare che, ad oggi, a pochi mesi dall'entrata in vigore del suddetto regolamento (come si evince da un articolo de Il Sole 24 Ore), una gran parte delle aziende italiane (ma il dato e' trasferibile in Europa) non ne conosce i termini e le conseguenti modalità' di applicazione ovvero ne ha conoscenza sommaria ma non percepisce la necessita' e l'urgenza di adeguarsi nei tempi indicati. In questo senso, la Pubblica Amministrazione e le piccole-medie imprese risultano piu' in ritardo.

E' opportuno sottolineare, peraltro, che le conseguenze del mancato adeguamento (previste dall’articolo 83) saranno pesanti sanzioni amministrative a carico delle aziende inadempienti, che potranno arrivare fino a 20 milioni di euro o fino al 4% del fatturato totale annuo.

La GDPR introduce novita' molto importanti in tema di trattamento dei dati personali dei cittadini europei, una delle quali e' la cosiddetta responsabilizzazione del titolare del trattamento, il che significa che le aziende avranno l'obbligo, ab origine, di assicurare che il trattamento dei dati sia effettuato secondo la nuova normativa. In tal senso l'adeguamento impone l'adozione di nuove misure tecnologiche, ma anche un nuovo e diverso approccio legale ed organizzativo basato sul rischio, cio' allo scopo di dimostrare di avere strutturato correttamente i trattamenti dei dati dei cittadini. In sostanza, la protezione ed il trattamento del dato sensibile deve entrare a fare parte della cultura dell'organizzazione aziendale.

La GDPR introduce anche termini e concetti che, dal 25 maggio 2018 in poi, entreranno nel lessico quotidiano (se si parla di privacy), fra i quali, il piu' importante ed ostico anche solo da pronunciare, e' la pseudonimizzazione. Tale termine indica che il trattamento dei dati personali di un cittadino (o di un'entità giuridica stabilita nell'Unione Europea) dovra' essere effettuato in associazione ad informazioni aggiuntive, che dovranno essere conservate separatamente, e soggette a misure tecniche ed organizzative intese a garantire la segretezza degli stessi al fine di non potere essere ricondotti ad un soggetto identificato ed identificabile. Il dato trattato, dunque, potrà essere attribuibile ad un determinato soggetto solo a seguito di un "incastro" di informazioni custodite separatamente.

Una buona regola generale da applicare al trattamento del dato personale, nell'era della GDPR, potrebbe essere quella del "keep it simple" ovvero, parafrasando Albert Einstein, fare le cose nel modo piu' semplice possibile, senza con cio' renderle banali.

E possibile indicare tre principi che potrebbero costituire un orientamento nell'adeguamento alla novella legislativa, ovvero:

1) trasparenza - che si riassume nel seguente concetto: se al cittadino e' difficile spiegare come una azienda utilizzi e tratti il suo dato personale evidentemente la stessa non dovrebbe utilizzarlo e trattarlo in tale maniera.

2) controllo sui dati - premettendo che ci deve essere esplicito consenso (non necessariamente scritto) al trattamento dei dati personali, e' importante che l'azienda dimostri che i cittadini hanno pieno controllo su tali dati e che il consenso puo' essere (facilmente) revocato. In questa ottica anche le comunicazioni dovranno essere adeguate al nuovo regolamento.

3) percezione del valore nel trattamento - tale principio sottolinea il fatto che i cittadini devono percepire che il consenso prestato al trattamento del dato non e' solo necessario ma anche loro utile, come se, tra azienda e cittadino, vi fosse uno scambio di valore.

L'adozione dei predetti potrebbe anche avere una positiva ricaduta sulla percezione che i cittadini avrebbero dell'azienda che tratta i loro dati personali. Infatti, appare piu' probabile che un cittadino, che abbia dato un consenso informato al trattamento, sia poi ulteriormente attivo nelle comunicazioni con le medesime. Ecco uno dei motivi per i quali il "fastidioso" adeguamento alla nuova regolamentazione potrebbe essere utilizzato come opportunità.

In chiusura a queste brevi (e chiaramente non esaustive) note e' importante ricordare come, ai fini dell'adeguamento al GDPR, sia necessario conoscere capillarmente l'organizzazione aziendale ed il suo sistema informatico, cio' puo' essere fatto attraverso un serio ed articolato "assessment" (tecnico e legale) che "fotografi" lo stato dell'azienda. A mio parere, e' dunque sconsigliata, a meno che non si tratti di grande azienda con risorse interne altamente specializzate in materia, l'adozione di semplici "tools". Le sanzioni che potranno essere infatti irrogate, a seguito di inadempimento o adeguamenti "fai da te" ed apparentemente low cost, sono troppo elevate per decidere di correre il rischio di non mettersi in regola.

Avv. Simone Turco