In questi giorni, il GDPR è stato l’argomento di ricerca più googlato in Italia e nel Regno Unito. Da oggi, 25 Maggio, il nuovo Regolamento Europeo in materia di protezione dei dati entrerà definitivamente in vigore e avrà efficacia.
E l’Italia?
L’Italia è stata in realtà uno dei primi Paesi in Europa a mostrare attenzione per il tema, tanto da avere riconoscimento dal garante europeo per la lungimiranza. Il nostro Paese ha quindi seguito con estrema attenzione questo regolamento, durante il semestre di presidenza italiano, fornendo un contributo importante dal punto di vista dei contenuti, con un occhio attento a evitare blocchi del mercato. Come molte fonti comunitarie, ovviamente il GDPR contiene dei rimandi ai regolamenti interni dei singoli Paesi. Il Ministero della Giustizia ha infatti creato un gruppo di lavoro, impegnato nella scrittura del Decreto che dovrà chiarire non solo i rimandi ai regolamenti dei singoli, ma anche le indicazioni per la piena attuazione del GDPR.
Uno schema di decreto era già stato approvato a Marzo e una bozza di decreto è pronta dal 10 Maggio, su cui però non vi è stato pronunciamento da parte delle Commissioni di Camera e Senato. Il Garante della Privacy, Antonello Soro, ha infatti lanciato un appello per esprimere celermente parere sulla bozza, mentre intanto è stata prodotta una guida per l’applicazione del GDPR.
Ci sono però molti nodi ancora da sciogliere, in quanto è difficile pensare che l’esistente, il codice della privacy, venga del tutto abrogato. Come molti hanno infatti notato, il GDPR non arriva certo nel deserto: esistono già delle procedure portate avanti dalle singole realtà per il rispetto della privacy. SI tratta di vedere come adeguare quanto già fatto a un nuovo Regolamento che comunque porta una vera rivoluzione, a cominciare da un’attenzione specifica al consumatore-cliente.
Tra i temi caldi che il decreto certamente dovrà risolvere, sicuramente c’è quindi il problema del coordinamento tra temi legislativi, per un bilanciamento tra il diritto alla cancellazione e all’eliminazione dei dati e l’accesso a fini investigativi, ovvero tra la responsabilità e la trasparenza.
Appare chiaro che il Regolamento è di livello gerarchicamente superiore come fonte rispetto al decreto, pertanto dove il primo appare dettagliato, difficilmente il secondo potrà intervenire; appaiono infatti molto particolareggiati temi quali i dati sanitari, il diritto all’oblio, l’uso dei dati a fini giornalistici, l’obbligo di notifica di gravi violazioni, sia privacy che commerciale, il diritto alla portabilità dei dati. Estremamente delicato inoltre il problema delle sanzioni, giudicate molto severe e sembra prevalere un orientamento verso una possibile depenalizzazione.
Si enfatizza inoltre il ruolo di responsabile e titolari, riempiendo di contenuto anche le procedure; si tratta altresì di concepire la privacy come un’attività responsabilizzante, adottando dei comportamenti proattivi, non solo formali.
Il design della privacy potrebbe essere un nuovo campo all’interno delle aziende. Progettare la privacy del servizio, del rischio e della tutela per il trattamento: questo il modo per fornire reali garanzie alle persone. L’attuazione di questo regolamento potrebbe aprire la strada a nuove professionalità specializzate, consigliere dei titolari affinchè le misure siano rispettate.
Sono tre gli aspetti realmente rivoluzionari del Regolamento, di cui bisogna tenere forte considerazione.
Non checklist, ma Consapevolezza.
La cultura della protezione dei dati si riconferma valore e non è più solo una semplice spunta di cose da fare. Il principio è detto accountability.
I dati sono valore e sono persone. I dati costituiscono la persona e pertanto vanno tutelati. Il focus del regolamento sono gli utenti, consentendo quindi ampi spazi di manovra per cause su trattamenti illeciti dei dati. Le sanzioni sono solo quindi la punta dell’iceberg.
Controlli. Non riconoscimento, ma essere in grado di dimostrare di aver fatto tutto. Il dato è una forma di business e in caso di controlli, bisogna dimostrare di aver compiuto tutti i passi necessari nel rispetto del regolamento. Fornire una fotografia nitida al controllo evita mesi di verifiche da parte del garante ai fini di stabilire la volontarietà del dolo.
In altre parole, il tempo delle informative fotocopiate con oggi è ufficialmente finito e sarà necessario adottare tutti i giusti strumenti per rispettare il Regolamento, che dà ampio spazio all’uso dei mezzi digitali e alle tecnologie per la raccolta del consenso.
Il Sole 24 Ore ha pubblicato ieri una serie di approfondimenti sottoforma di domande. E voi avete già pensato a come rispondere?