Pagine a cura di Federico Unnia
Le imprese italiane marciano spedite verso la scadenza del 25 maggio, data in cui entrerà in vigore il regolamento europeo sui dati personali (Gdpr), con un misto di sottovalutazione dei rischi, scarsa sensibilità al tema e un malcelato fastidio per quello che sembra essere un inutile, costoso nuovo fardello amministrativo. È quanto emerge da un sondaggio condotto da Affari Legali con alcuni degli studi che in questi sono maggiormente impegnati sul tema.
«Oggettivamente c’è una quota rilevante di aziende che pare essere in chiaro ritardo», spiega Iacopo Destri, partner di C.Lex Studio legale. «È difficile ipotizzare che quella data possa essere rispettata.
Anche le aziende che si sono attivate tempestivamente, potrebbero non essere pronte. Le imprese faticano, soprattutto nell’operatività, a definire con precisione il concetto, ad inquadrare fattispecie concrete e, conseguentemente, a delimitare l’ambito di applicazione della relativa normativa. Sarà necessario implementare attività di carattere formativo indirizzate ai propri dipendenti al fine di diffondere una cultura improntata al rispetto dei diritti degli interessati» conclude.
Sulla stessa lunghezza d’onda Silvia Stefanelli, co-fondatrice di Stefanelli&Stefanelli: «La mia percezione è di un ritardo molto consistente. Il 25 maggio si avvicina e pare che alcuni neppure siano a conoscenza dei nuovi obblighi.
Il punto è che il Regolamento richiede di effettuare un’analisi del rischio del trattamento del dato e di implementare un modello di gestione del dato stesso (ispirandosi al sistema Iso 9001). Il lavoro da fare è consistente. Non riscontro, inoltre, un’accresciuta sensibilità sul valore intrinseco dei dati che l’impresa deve gestire. Ciò è dovuto ad una cultura della privacy vissuta come una inutile balzello burocratico: carta che nessuno legge.
Non si è capito che il nuovo Regolamento non solo è molto meno burocratico e molto più sostanziale, ma soprattutto che oggi i dati sono un assets aziendale perché sono un elemento cardine del business attuale e futuro». Insomma, il 25 maggio le imprese rischiano grosso? «In linea di principio il 26 maggio potrebbero iniziare i controlli. Io auspico che, nei fatti, ci sia un lieve allungamento dei tempi. Ciò non toglie che prima o poi la macchina delle verifiche partirà: e lì bisogna essere pronti» conclude la Stefanelli.
Secondo Vincenzo Colarocco, a capo del Dipartimento protezione dei dati personali, compliance e sicurezza informatica dello Studio Previti, occorre sviluppare nelle imprese e nei ruoli apicali la consapevolezza di dover adottare modelli organizzativi e competenze per gestire al meglio questo passaggio. «Le aziende che hanno avviato il processo di adeguamento stanno progressivamente prendendo una sempre maggiore confidenza con il trattamento dei dati. Ciò grazie all’attività di formazione erogata a tutti i livelli aziendali, ma anche alla compilazione del registro dei trattamenti. Non solo si acquisisce maggiore sensibilità sulle varie tipologie di dati trattati dall’azienda con i rischi connessi e con la consapevolezza di cosa si stia trattando, ma consente anche di poter cogliere nuove opportunità di business e di sfruttamento lecito dei dati trattati.
Ciò detto le maggiori preoccupazioni sono il rispetto della scadenza del 25 maggio p.v., la gestione di un eventuale data breach, e la poca consapevolezza sulla protezione dei dati personali e sulla cyber security da parte dei dipendenti che potrebbe esporre l’azienda a dei rischi. Ciò deriva sia dal rischio sanzionatorio sia dal rischio reputazionale, entrambi connessi alle notizie di un eventuale data breach o mancata compliance dell’azienda».
In controtendenza Paolina Testa, a capo dello Studio legale associato Ftcc di Milano: «La mia impressione è che il problema dell’adeguamento al Gdpr sia fortemente sentito dalle imprese, e che in generale si stiano attivando, ognuna con i propri mezzi e secondo la propria sensibilità e possibilità. Certo, non tutto è stato fatto, anche perché molti speravano nel solito rinvio. Ci sono dei ritardi, ma probabilmente verranno colmati, almeno per gli aspetti più rilevanti, con uno sprint finale. Le imprese che fanno molta comunicazione sono da tempo consapevoli del valore dei dati. Proprio in forza di questa consapevolezza, stanno cercando da una parte di avere sempre più garanzie sulla correttezza e legittimità della raccolta e del trattamento dei dati effettuati dalle cosiddette terze parti; dall’altra di avere un controllo diretto sui dati, almeno quelli relativi alle loro campagne».
Parla di un Italia spaccata a metà Lucio Scudiero, direttore esecutivo di Lex Digital: «Da un lato i gruppi medio-grandi che hanno iniziato da tempo un processo di adeguamento alla nuova disciplina, spesso trascinati dalle capogruppo estere; dall’altro le piccole e medie imprese italiane che sono in forte difficoltà a gestire i meccanismi di una disciplina che obiettivamente non è stata pensata per loro. Più che le imprese è in ritardo il nostro ordinamento, con il legislatore interno che non solo non ha aiutato la transizione, ma anzi ha contribuito a generare confusione e panico con gli interventi spot contenuti nell’ultima legge di bilancio e nelle due leggi europee. Norme che hanno modificato le regole sui responsabili del trattamento, sul legittimo interesse e sul riuso dei dati a fini di ricerca scientifica, quasi sempre in contrapposizione con il Gdpr, che in ogni caso prevarrà in ossequio al principio della supremazia del diritto europeo su quello nazionale». Le preoccupazioni degli imprenditori sono ben chiare: «Incertezza del diritto, perché il legislatore nazionale non ha aiutato. Carenza di competenze interne e un aggravio dei bilanci con un onere regolatorio che molti continuano a ritenere un orpello fastidioso». Non manca una chiosa sul Data protection officer (Dpo): «Sarebbe naïf pensare che di qui a un anno vi saranno tanti Dpo quanti ne richiede il mercato; per essere Dpo non basta un corso, per quanto sia un tassello imprescindibile. Quel che manca è l’iniziativa delle associazioni di imprese, e penso in particolare a certi settori più esposti, quali il bancario, l’assicurativo, il farmaceutico, ma anche la p.a., per i quali i Dpo devono avere delle competenze specialistiche rispetto alle quali la conoscenza del Gdpr è solo l’antipasto. Mi stupisce che non vi siano tante iniziative verticalizzate su questi settori».
Secondo Paolo Ricci, managing partner di Ls Cube Studio Legale, «dalla fine del 2017 si è verificata un’ulteriore accelerazione e ad oggi quasi tutte le grandi imprese hanno effettuato la gap analysis e risk assessment, mentre ancora una larga percentuale non ha ancora provveduto ad attuare un piano di implementazione. Diverso il discorso per le pmi dove, per nostra esperienza, i ritardi sono molto più significativi». Ls Cube, su questi temi, promuove un incontro a Roma: quali sono gli obiettivi? «Il Gdpr è visto ancora oggi, in molti casi, come un nuovo codice al quale conformarsi, un adempimento da smarcare per “mettersi in regola”. In realtà, il Gdpr introduce una sorta di responsabilità di risultato per le imprese che va oltre il mero rispetto del dato normativo. Le attività di maintenance sono importanti tanto quanto quelle di adeguamento. E forse di più. Il rispetto del Gdpr porta con sé alcune opportunità per le imprese. Penso a quelle commerciali (maggior efficacia delle attività promozionali e maggiore soddisfazione e fidelizzazione dei propri clienti) direttamente collegate al miglioramento nella governance dei dati. Ma anche al necessario miglioramento delle capacità informatiche dell’impresa e dell’immagine aziendale. Il rispetto del Gdpr che potrà essere rappresentato come una sorta di bollino di qualità».
Secondo Gianluigi Marino, partner dello studio Osborne Clarke e responsabile della practice Data Protection, molte aziende sono ancora indietro. «Sono molte le imprese – e non per forza medie o piccole – che stanno raccogliendo in questi giorni i preventivi per le attività di adeguamento al Gdpr. In taluni casi (imprese medie o piccole), si tratta addirittura dell’occasione per partire da zero con attività di conformità alle norme in materia di protezione dei dati personali» chiosa Marino. «Il 25 maggio è vissuto dalle aziende come il giorno dell’Apocalisse, come era stato ai tempi del millennium bug. L’approccio del Garante sarà graduale e si concentrerà sulle questioni e sui trattamenti più rischiosi. Ipotizzo che anche il Garante adotterà un risk based approach e non userà il Gdpr solamente come occasione per «fare cassa» e irrogare sanzioni. Avrebbe potuto avere un atteggiamento molto più aggressivo già a seguito della normativa sui cookie e così non è stato. Ovviamente questo non significa che la data del 25 maggio 2018 possa essere presa sotto gamba». Criticità? «Il costo della consulenza che nella maggior parte dei casi viene visto non come un investimento ma come una zavorra. I rischi di sanzioni in caso di incompleta conformità alla nuova normativa e la scarsità di punti fermi sicuri rispetto a una conformità almeno minima. Questo è l’effetto principale dell’accountability e dal cambio di approccio da prescrittivo a di conformità a principi generali di portata molto ampia».
Parla di occasione persa, al momento, Francesco Paolo Micozzi, partner dello Studio Array, secondo il quale «il fatto che le imprese abbiano colto con estremo ritardo gli impegni connessi all’adeguamento al Gdpr è un chiaro indice del fatto che non sia mutata – salvo qualche caso sporadico – la vecchia concezione della disciplina in materia di protezione dei dati personali come qualcosa di essenzialmente burocratico e necessario al fine di evitare sanzioni piuttosto che come opportunità per distinguersi – e quindi offrire un valore aggiunto sicuramente apprezzato dal mercato – sotto il profilo del trattamento dei dati personali dei propri utenti. Si pensi, ad esempio, alla rivoluzione in tema di data-protection-by-design: si tratta di un adeguamento imposto dal Gdpr e che, sostanzialmente, si concretizza in un adeguamento dell’intero impianto produttivo e organizzativo. E l’adeguamento è determinante – e per questo motivo si parla di opportunità – per la stessa sopravvivenza della maggior parte delle imprese posto che le p.a. inseriranno nei bandi pubblici del prossimo futuro, dei criteri di preferenza per quelle aziende rispettose dei principi di privacy-by-design e privacy-by-default».
Infine, Chiara Agostini partner Tmt-Privacy e Luca Egitto partner nelle aree Ip e Tmt di RP Legal sottolineano come «nelle maggior parte delle società che hanno già intrapreso il percorso di adeguamento al Gdpr, avuto particolare riguardo a multinazionali o società con un core business intrinsecamente collegato al trattamento dei dati di utenti, abbiamo notato una buona cultura in termini di decodifica di dato personale, sia nella forma di dati identificati sia in quella di dati identificabili, associati all’uso di indirizzi IP, cookie e finger printing. Preoccupa l’applicazione del principio dell’accountability e l’indicazione di un remediation plan entro un tempo brevissimo (72 ore) al Garante per la Protezione dei dati e, in alcune ipotesi, agli interessati. I nostri clienti si approcciano a tale nuovo adempimento con grande preoccupazione in quanto, da un lato, rilevano la difficoltà in alcuni casi di accorgersi di essere sotto attacco, dall’altro, spesso accade che la filiera del trattamento dei dati sia talmente estesa da rendere estremamente arduo il rispetto della tempistica e la veicolazione di tutte le informazioni richieste entro il suddetto termine».
Fonte: