Il 25 maggio dello scorso anno è entrato in vigore di Regolamento Europeo della Privacy ( GDPR).
Chi di noi avrà sottoscritto da poco dei moduli per la privacy (che ci vengono sottoposti con assoluta frequenza) forse avrà notato sul modulo proprio l’apposizione di tale sigla.
L’accoglienza iniziale da parte delle imprese al nuovo regolamento europeo non è stata delle migliori , lo si è percepito come un ulteriore balzello (viste le spese che esso richiede alla aziende, spese che non sono di poco conto) ed una ulteriore complicazione burocratica che oltretutto fa sorgere nuove anche gravi responsabilità in capo alla dirigenza aziendale.
Dobbiamo dire che le critiche hanno un qualche fondamento. Preliminarmente non vi è stata una sufficiente informazione preventiva sulle novità che il GDPR avrebbe introdotto, la sua entrata in vigore ha sorpreso le aziende che peraltro si erano malamente abituate a considerare le norme sulla privacy del vecchio D.Lgs del 1993 , come degli accidenti di poco conto , avendo comportato solo la sottoscrizione di un modulo (quello del consenso al trattamento) in più rispetto ai tanti moduli che chi è costretto a fare impresa in questo Paese è obbligato a far sottoscrivere ai propri clienti.
Il GDPR costituisce invece una rivoluzione.
Non si chiede la sottoscrizione di qualche modulo in più (sono molti più d’uno!) ma si chiede che l’azienda entri nella cosiddetta accountability della privacy e cioè nel concetto di responsabilità che non va letto solo come la sua traduzione letterale dalla lingua inglese, ma esso fa riferimento, quando citato nell’ambito della privacy, ad un atteggiamento proattivo che significa sapere individuare prima il problema ed affrontarlo con una soluzione della quale poi si dovrà rendere conto.
Le finalità che il GDPR , ( anche attraverso l’accountability ) persegue , sono molte e in linea di principio condivisibili. Si va dalla liceità , correttezza e trasparenza dei dati trattati, alla esattezza degli stessi, alle limitazioni delle finalità di raccolta, alla minimizzazione dei dati, nonché alla limitazione della loro conservazione (c.d. diritto all’oblio), alla loro integrità e riservatezza.
L’inefficacia della comunicazione istituzionale (ed alcune decisioni del Garante della Privacy non facilmente comprensibili come quella di adottare un Registro dei Trattamenti semplificato per le PMI estendendone la tenuta a tutti i soggetti economici e non solo alle aziende con più di 250 dipendenti (come previsto dal GDPR ) hanno allontanato le Aziende dalla comprensione del problema (che abbiano chiamato accountabiliy ) e anche dalla comprensione di come la soluzione di tale problema costituisca un fattore di crescita aziendale, la privacy continua invece ad essere sentita dalla maggior parte delle aziende come uno strumento fortemente sbilanciato in favore dei consumatori ed a carico delle imprese.
Con il GDPR, la privacy entra comunque nelle fondamenta dell’impresa , ne costituisce uno dei muri portanti.
Temiamo che quasi nessuno o ben pochi abbiano compreso i termini di quella che e‘ una vera e propria rivoluzione.
Fabrizio Righes
