Non resta molto tempo a imprese e professionisti per adeguarsi al nuovo regolamento europeo. L’unica certezza è l’aumento di costi e adempimenti
di Marino Longoni mlongoni@class.it
Aumentano gli adempimenti in materia di privacy. E anche i rischi. Tra un anno entrerà in vigore il nuovo regolamento europeo 679/2016. E, mentre con l’attuale codice della privacy imprese e professionisti si sono abituati a regole predeterminate, certe, con obblighi descritti in maniera esatta, hanno insomma ben chiaro quali sono gli adempimenti minimi per non andare incontro a sanzioni, con il nuovo regolamento europeo lo scenario cambierà radicalmente.
Molti adempimenti non sono definiti dalla legge, ma vengono espressi sotto forma di principi generali: si impone per esempio di trattare adeguatamente i dati delle persone, controllare se il sistema informatico utilizzato è sicuro, verificare se si sta attuando un interesse legittimo senza violare i diritti delle persone (condizioni necessarie per non chiedere il consenso). Ma non si precisa come raggiungere questi obiettivi. Il regolamento europeo lascia margini maggiori, ma responsabilizza di più: è onere dell’imprenditore, del professionista o della p.a. dimostrare di non ledere i diritti altrui.
Per esempio, in materia di richiesta del consenso: ora la regola è che va chiesto, salvo le eccezioni normativamente previste. Con il nuovo regolamento il consenso andrà richiesto, salvo che non ci sia un legittimo interesse al trattamento, ma non sono previsti i casi espliciti di esclusione.
Così anche per le misure di sicurezza informatica: ora c’è l’elenco delle misure minime di sicurezza (es. password di almeno otto caratteri, da cambiare almeno ogni tre mesi, per i dati sensibili), nel regolamento si chiede di adottare tutte le misure tecniche e organizzative necessarie per evitare un attacco informatico, senza specificare quali.
Aumenta la libertà ma anche la responsabilità. Sarà quindi necessario costituire un dossier nel quale specificare cosa si è fatto e perché lo si è fatto. In linea di massima sarà necessario un maggior numero di adempimenti. In Italia, qualche anno fa era stato addirittura abrogato il documento programmatico sulla sicurezza (considerato un documento inutile), basta compilare un prestampato predisposto dal garante privacy. Dal 2018 invece tutti dovranno fare l’analisi dei rischi. È stato introdotto anche il registro dei trattamenti. Spesso sarà necessaria la valutazione dell’impatto privacy. E, secondo alcuni, dovranno essere rifatte tutte le informative e tutti i consensi dovranno essere richiesti ex novo.
Attenzione, i pericoli sanzionatori sono molto più elevati rispetto all’attuale codice. È infatti previsto solo il limite massimo, ed è elevatissimo (fino a 10 milioni, fino a 20 milioni ecc.).
Non a caso c’è fermento tra i professionisti dell’informatica, per conquistare fatte di mercato come responsabili di data professional officer (in italiano, responsabile protezione dati), figura obbligatoria per tutte le pubbliche amministrazioni e nelle imprese che trattano dati su larga scala (ma non si capisce bene per chi, perché i parametri sono piuttosto vaghi). Anche i corsi per prendere il patentino di consulente privacy sono strapieni. Evidentemente in molti hanno fiutato il business.
Il problema di tutti è arrivare al 25 maggio 2018 mettendosi il più possibile al sicuro, in presenza adempimenti sostanziali, non formali, che non consentono però di immunizzarsi dal rischio legale. In molti dovranno perciò rivolgersi ad un consulente esterno, cioè tirar fuori dei soldi. Una prospettiva non semplice in un quadro economico nel quale la metà delle imprese ha grossi problemi di liquidità e redditività. Il quadro è aggravato anche perché le sanzioni, come già detto, sono potenzialmente altissime. E i controlli, come avviene già oggi, saranno eseguiti nella grande maggioranza dei casi dalla Guardia di finanza (sulla base di un piano annuale o di segnalazioni). È stato da tempo istituito anche un nucleo speciale dedicato ai controlli sulla privacy.
Ma si può dubitare che tutte queste misure (e questi costi, per chi le deve implementare) serviranno veramente a fermare il business dei dati personali, che attualmente muove miliardi di dollari.
Le nuove regole infatti rappresentano il frutto del compromesso raggiunto tra le multinazionali del web e la Commissione europea, che non ha certamente tolto loro tutti i margini di manovra: per esempio sarà possibile la profilazione del cliente, il quale però potrà chiedere di essere cancellato. In sostanza il trattamento legale dei dati personali resta consentito anche a fini commerciali, in cambio però di una maggior attenzione, trasparenza, sicurezza ecc. Non a caso le multinazionali si stanno già preoccupando di nominare il dpo, di fare le informative in modo corretto, acquisire le necessarie autorizzazioni, garantire la portabilità dei dati in maniera rapida, ecc. Il problema maggiore però non riguarda le grandi imprese, ma le piccole e medie, fino agli studi professionali. Per loro si apre una fase di incertezza e di nuovi adempimenti che si sarebbero certamente risparmiata volentieri.
© Riproduzione riservata
Fonte: