di Marino Longoni
Solo un terzo delle aziende è in regola con le norme del nuovo regolamento europeo sulla privacy, che diventeranno pienamente operative a partire dal 25 maggio 2018: si tratta in gran parte di banche e società di informatica o telecomunicazioni. Il bicchiere mezzo vuoto emerge da una recente ricerca di Dla Piper. Ma c’è anche quello mezzo pieno, come riporta un’indagine dell’Osservatorio del Politecnico di Milano: in più della metà delle imprese è in corso un processo di adeguamento alle nuove regole e un altro terzo sta studiando il da farsi. Si può dire quindi che il mondo del business, pur in ritardo, si sta muovendo (e questo sembra essere un dato comune in tutta Europa), ma non sarà certamente possibile colmare questo gap nei prossimi tre mesi. Con la conseguenza che dal 25 maggio in molti si troveranno esposti al rischio di sanzioni draconiane: fino a 20 milioni o il 4% del fatturato globale.
In realtà, in grave ritardo è anche la Pubblica amministrazione, non solo perché gli enti pubblici sono tra i più lenti a implementare le regole per la sicurezza informatica e la protezione dei dati degli utenti, ma soprattutto perché la Pa ha accumulato gravi ritardi nella definizione delle norme che devono essere osservate dai cittadini e dalle imprese, tanto che il Gdpr (General data protection regulation) è sotto molti aspetti un cantiere ancora aperto. Per esempio, la legge 163 del 2017, all’articolo 13 delega il governo alla scrittura delle regole di raccordo interno tra regolamento europeo e norme italiane: questioni delicate in materia sanitaria, e anche per molte pubbliche amministrazioni, o in materia di applicazioni di sanzioni. È vero che ci sarebbe tempo fino a maggio ma in questo momento non c’è ancora niente, nemmeno le bozze dei decreti legislativi, tranne quello sulla giustizia. Ci sono anche molti adempimenti delle imprese in attesa di provvedimenti attuativi da parte delle autorità europee. Per esempio, quelle che trattano dati con rischi elevati per le persone dovrebbero compilare un documento che si chiama valutazione di impatto privacy, ma è tutto ancora fermo in attesa che il Garante italiano, sulla base delle indicazioni che dovrebbero arrivare da quelli europei, spieghi chi è tenuto e chi no. Oppure, non è ancora chiaro, in molti casi, come si deve chiedere il consenso. Manca ancora un format per il contratto tipo per la nomina del responsabile esterno del trattamento (quando si affidano attività in outsourcing) e non sono state definite le icone che possono essere utilizzate per l’informativa sulla privacy.
E non basta. Ci sono provvedimenti italiani successivi al regolamento europeo che sono a rischio di incompatibilità: per esempio la legge Bilancio 2018 (n. 205/2017), ai commi 1022 e 1023 ha precisato quando le imprese possono effettuare trattamento di dati senza chiedere il consenso, ma mentre per il regolamento europeo basta che l’azienda autocertifichi di avere un legittimo interesse in questo senso, secondo la norma italiana, successiva al regolamento, è necessario fare una specifica richiesta al Garante per ottenere l’esonero. È difficile adeguarsi a norme mancanti o non chiare. Tuttavia sembra che la maggior parte delle imprese si stia almeno rendendo conto che il problema esiste. E non solo quello della privacy, ma più in generale quello della protezione dei dati personali che, ormai, sono diventati più preziosi dell’oro, ma che proprio per questo hanno bisogno di tutela adeguata. E spesso non basta nemmeno essere in regola con le norme vigenti, perché l’evoluzione tecnologica è molto più veloce di quella normativa e apre sempre nuove opportunità ai malintenzionati di tutti i tipi. È una battaglia tra guardie e ladri combattuta apparentemente senza spargimento di sangue. Ma i danni che si possono provocare con la pirateria industriale o con il furto di informazioni, sono enormi. Potrebbe, forse, essere il caso di introdurre, per chi tratta dati riservati, un obbligo di assicurazione obbligatoria (simile a quella sulla Rc auto), anche per aumentare la consapevolezza sul valore dei dati stessi e sulla necessità di trattarli in modo adeguato. (riproduzione riservata)
Fonte: