Per tutti coloro che hanno a che fare con la privacy, il 25 maggio 2018 ha tracciato una linea di demarcazione tra il “prima” e il “dopo”. Da questo giorno, infatti, si applica in tutta Europa il Regolamento 679/2016, anche noto come GDPR, che fornisce un unico approccio alla tutela dei diritti dei cittadini europei in materia di “trattamento dei dati personali e libera circolazione di tali dati”.
Cosa cambia
Il cambiamento sostanziale riguarda la prospettiva, in quanto il GDPR sposta l’attenzione oltre che sulla persona fisica (titolare di diritti), anche al dato, che diventa importante in sé, come materia prima della Data Economy. La gestione dei dati personali diventa a tutti gli effetti un processo aziendale fondamentale che necessita di essere gestito in ogni fase. Le principali innovazioni portate dal Regolamento sono sintetizzate in cinque punti:
- l’informativa deve diventare comprensibile a tutti (nel caso dei minori occorre prevedere informative idonee), concisa, accessibile, senza riferimenti normativi e deve indicare l’origine dei dati e il loro tempo di conservazione;
- il consenso diventa inequivocabile, non più obbligatoriamente ed esplicitamente espresso, poiché può essere desunto anche da comportamenti, ma comunque manifestato attraverso una dichiarazione o azione positiva che non lasci dubbi; non è ammesso il consenso tacito o presunto (no a caselle “pre-spuntate”);
- viene istituita la figura del DPO (Data Privacy Officer), non più un semplice garante dei dati ma un vero manager della data privacy. L’individuazione di questa figura responsabile è obbligatoria per tutte le pubbliche amministrazioni degli stati comunitari e, sotto ben identificate condizioni, anche per le aziende private;
- è obbligatorio notificare al Garante i casi di violazione dei dati personali (Data Breach) entro 72 ore;
- aumentano le sanzioni in caso di violazione, che possono arrivare fino al 4% del fatturato dell’intero Gruppo (in caso di Multinazionali), fino ad un massimo di 20 milioni di euro.
Lo sforzo della Commissione Europea si è orientato nella direzione di fornire un quadro regolatorio comune e condiviso, promuovendo una cultura del rispetto delle regole e definendo modelli di Governance nella gestione dei dati da parte dei Titolari al trattamento. Una delle caratteristiche qualificanti di questo nuovo approccio è la responsabilizzazione, attraverso significative sanzioni amministrative dei soggetti che a vario titolo gestiscono e trattano dati personali di cittadini europei.
La dimensione aziendale non è più un elemento rilevante al contrario della tipologia e la quantità di dati da gestire, che fanno la differenza nella valutazione dei rischi a cui un’organizzazione è soggetta. La capacità di promuovere un approccio etico alla Privacy diviene adesso uno degli elementi costitutivi per la leadership delle organizzazioni. La Privacy era percepita dai vertici aziendali come un adempimento burocratico demandato alle funzioni tecniche. Eventuali incidenti non erano percepiti come esiziali per la continuità del business né dal punto di vista economico, né dal punto di vista dell’immagine.
Oggi lo scenario è cambiato ed il contesto è divenuto estremamente più complesso, generando rischi non previsti. È necessario quindi ridefinire le mappe in cui le aziende si muovono, facendo proprio un approccio basato sui rischi e sulla ricerca di opportunità. Alcuni effetti di questo approccio possono essere rinvenuti nelle previsioni della Privacy by Design e by Default, del Data Protection Impact Assessment e della Figura del Data Protection Officer presenti nel Regolamento Europeo.
Il DPO è la figura chiave designata a stimolare gli organi amministrativi aziendali, con l’obiettivo di rendere veramente efficace la Data Privacy Governance. Ma se gli organi amministrativi non dimostrano la propria Leadership in materia di privacy, ben difficilmente il DPO potrà raggiungere i propri obiettivi.
