Dl 25 maggio sarà in vigore il nuovo regolamento europeo. Ma mancano le norme attuative. Le imprese senza Dpo rischiano sanzioni stratosferiche
di Marino Longoni mlongoni@class.it
Le imprese, invece, non avranno alcuna proroga: dovranno applicare una riforma piuttosto delicata senza conoscerne i dettagli attuativi. In più risulta a ItaliaOggi che la Guardia di finanza abbia ricevuto indicazioni di non applicare nessuna proroga di fatto: in pratica dal 25 maggio le aziende che ne erano obbligate, e che non hanno provveduto almeno alla nomina del Dpo, cioè il responsabile della protezione dati, saranno sanzionate. Oltretutto il Garante sta costruendo un database con l’elenco delle imprese tenue alla nomina del nuovo responsabile della protezione dei dati. Non sarà quindi difficile scovare chi non ha adempiuto a tale obbligo. Anche perché, a 7 giorni dall’entrata in vigore del General Data Protection Regulation (Gdpr), il 93% di coloro che hanno risposto, pochi giorni fa, ad un sondaggio di Sas, ha affermato di non essere ancora totalmente conforme al nuovo regolamento. Anche se poi il 53% delle aziende europee intervistate ha affermato che conta di essere conforme alla normativa entro il 25 maggio. E non è un caso se, proprio su questo aspetto, negli ultimi giorni si sta assistendo a qualcosa che ricorda molto il mercato delle vacche: sedicenti Dpo che si offrono ad aziende e pubbliche amministrazioni a prezzi da liquidazione. Nei giorni scorsi si è avuto notizia di incarichi affidati per duemila euro l’anno. Facile immaginare con quanto impegno e con quanta dedizione queste attività saranno svolte.
Di fatto, quindi, le imprese si troveranno ad applicare una disciplina mancante di alcuni aspetti importanti (a causa dei ritardi accumulati dal legislatore), come per esempio le semplificazioni per le piccole e medie imprese, che dovrebbero essere contenute nel provvedimento attuativo, ma che per il momento sono inesistenti. Mancano anche precisazioni importanti sugli adempimenti che stanno per entrare in vigore: Per esempio: cosa significa che le misure di sicurezza devono essere adeguate? Oppure quali sono i limiti che fanno scattare gli obblighi per chi tratta dati sensibili «su larga scala»? Lacune macroscopiche delle quali però nessuno si preoccupa. Forse perché, in definitiva, il Regolamento europeo è il risultato di un compromesso tra le multinazionali dell’informatica e i garanti della privacy europei, un accordo nel quale le cosiddette società ott (over the top) garantiscono una maggior tutela degli utenti ma in cambio ottengono un maggior spazio di manovra. Tanto che, opportunamente celati all’interno del Regolamento, ci sono disposizioni per mettere in sicurezza la vendita di dati online, l’attività che garantisce alle multinazionali di internet i maggiori fatturati. Di fatto alle ott è stata garantita la possibilità di continuare a gestire e sviluppare i big data, l’oro nero del ventunesimo secolo. Alle altre imprese il regolamento garantisce invece adempimenti sempre più fastidiosi e pericolosi. E sanzioni per chi sgarra.
© Riproduzione riservata
Fonte: