Il 26 maggio 2018 sarà un sabato. Chi ancora non è preparato alla piena applicabilità del GDPR, dunque, fino al lunedì successivo non sarà costretto a rendere conto della propria situazione. È una battuta emersa in occasione del convegno “GDPR: ultima chiamata” ed è nata dalle discussioni che ci son state nei giorni scorsi relative a un ipotetico differimento di 6 mesi (negato poi dal Garante della privacy) dell’inizio delle sanzioni relative all’inadempienza degli obblighi relativi al Regolamento europeo 2016/679 sulla General data protection regulation.
Questa grande attenzione alla possibilità di rimandare eventuali ispezioni la dice lunga sulle preoccupazioni delle aziende e, in occasione dell’affollatissimo incontro organizzato dal Gruppo Digital360, sono stati portati diversi dati che indicano che le organizzazioni sono complessivamente in ritardo.
“Le grandi aziende – ha osservato Gabriele Faggioli, CEO di P4I-Partners4Innovation e presidente del Clusit, durante il saluto di apertura dei lavori – sono a buon punto nel processo di adeguamento alla normativa, ma non si può dire lo stesso delle Pmi e delle pubbliche amministrazioni. L’esperienza di questi mesi di lavoro ci insegna che è ancora possibile fare qualcosa per mettersi in regola puntando sugli adempimenti essenziali. Ma occorre fare presto, perché un adeguamento sostanziale alla nuova normativa non è possibile semplicemente stilando qualche documento. Serve di più: approfondimento giuridico, analisi organizzativa, valutazione tecnologica e verifica di sicurezza. Non c’è più tempo da perdere se non si vogliono rischiare sanzioni”.
Eppure, le aziende, in generale, sembrano consapevoli dell’importanza del nuovo Regolamento europeo sulla protezione dei dati; già nei dati raccolti a fine dell’anno scorso dall’Osservatorio Information Security & Privacy del Politecnico di Milano, emergeva come solo l’8% delle imprese italiane non fosse a conoscenza delle implicazioni del GDPR, mentre il 51% aveva in corso un progetto strutturato di adeguamento e il 34% un’analisi di dettaglio dei requisiti e dei piani di attuazione.
Anzi, proprio grazie al GDPR le aziende hanno aumentato gli investimenti sulla sicurezza informatica nel suo complesso. Le principali azioni attivate dalle aziende per mettersi in regola erano la valutazione della compliance (già realizzata dall’87%), l’individuazione dei ruoli e delle responsabilità (80%), la stesura o la modifica della documentazione (77%), la definizione delle politiche di sicurezza e la valutazione rischi (77%).
Ma cosa fare oggi che mancano così pochi giorni al 25 maggio?
“Le cose da fare assolutamente – ha indicato Faggioli – sono:
- tenere sotto controllo quello che si fa con i dati e in questo contesto il Registro dei Trattamenti è fondamentale;
- aggiornarsi sulla nuova normativa sull’informativa per il consenso;
- approvare un modello di organizzazione che assicuri la data privacy, che identifichi chi fa che cosa, in pratica, qual è la governance del dato.
- Ultimo punto, l’adeguamento dei contratti con i fornitori. Vorrei a questo proposito sottolineare che con il concetto della responsabilità solidale si mira a favorire l’esternalizzazione delle piattaforme, e quindi dei dati, a soggetti che grazie a economie di scala possono permettersi investimenti in tecnologie di protezione all’avanguardia, un’opportunità da non trascurare per essere certi di avere elevati livelli di sicurezza”.
Il GDPR nelle intenzioni del legislatore europeo
“Il legislatore europeo – ha spiegato Giovanna Bianchi Clerici, componente dell’Autorità Garante per la protezione dei dati personali, riassumendo lo spirito della normativa – con l’intento di imporre la supremazia del diritto europeo sul digitale (tale diritto si applica a tutte le realtà che trattino dati di cittadini europei), ha voluto prima di tutto trovare un equilibrio tra la libera circolazione dei dati e la protezione dei diritti di libertà delle persone fisiche. In secondo luogo, si è impegnato a porre fine a quel mosaico di normative diverse e più o meno stringenti che caratterizzava il nostro continente. Inoltre, per la prima volta, il GDPR emancipa il concetto di legittimo interesse rendendo possibile il trattamento dei dati anche senza il consenso dell’interessato alla luce delle ragionevoli aspettative dell’interessato stesso in base al suo rapporto con l’organizzazione che utilizza i suoi dati”.
Del resto, come ricordato dal Garante la novità su cui poggia tutto il nuovo Regolamento è la responsabilizzazione, in inglese accountability, del titolare del trattamento dei dati: si è infatti preferito impostare così la normativa piuttosto che instaurare un regime basato sulle autorizzazioni imposte dall’alto.
Inoltre, il GDPR introduce l’obbligo per tutte le organizzazioni di porre attenzione alla sicurezza dei dati fin dalla progettazione dei servizi che utilizzano i dati stessi.
“Il digitale – ha sottolineato Bianchi Clerici – non è e non deve essere per sua natura anarchico; la regolamentazione invecchia velocemente rispetto alle tecnologie che hanno un ritmo di evoluzione incessante; un Regolamento come il GDPR ha proprio il ruolo di arginare un fiume dirompente”.
“Si sta giocando una partita che va oltre la tutela dei dati personali – ha puntualizzato Giovanni Buttarelli, Garante europeo della protezione dei dati, intervenendo in video collegamento da Bruxelles – e che riguarda la gestione degli equilibri economici mondiali. Serve quindi una interazione maggiore tra le autorità competenti per colmare eventuali lacune. Il tema del confronto è internazionale e l’Europa ha fatto un buon lavoro: tanti Paesi hanno guardato al GDPR per regolare la data protection”.