GDPR. Un’analisi del nuovo regolamento Ue
Intervista a Roberto Giovanni Loche – Consulente, DPO, Privacy Specialist
Con il GDPR (General Data Protection Regulation – Regolamento UE n. 2016/679, operativo a partire dal 25 maggio 2018) si è aperta una nuova epoca in materia di privacy e di trattamento dei dati personali. Quali sono i tratti essenziali di questa rivoluzione, e – soprattutto – quali sono le ragioni e gli scopi che hanno spinto l’Unione Europea a legiferare in questi termini?
La gestione dei dati personali è diventata in questi ultimi anni uno dei maggiori business a livello mondiale, favorendo di conseguenza il moltiplicarsi dei trattamenti con l’utilizzo di tecnologie sempre più avanzate. È nata quindi l’esigenza, in campo comunitario, di una evoluzione del sistema normativo relativo alla protezione dei dati personali e dei diritti delle persone fisiche. Per dare una risposta a questa necessità, il 25 maggio 2018 è divenuto pienamente operativo in tutti i paesi Ue il nuovo Regolamento europeo in materia di trattamento dei dati personali, 2016/679 (GDPR), una innovativa legislazione che riguarda tutti coloro che a vario titolo raccolgono e trattano i dati personali dei cittadini europei.
Il GDPR si è posto sostanzialmente due obiettivi:
- dare ai cittadini europei un maggior controllo sul modo in cui aziende ed enti pubblici raccolgono e trattano i loro dati personali, responsabilizzando nel contempo maggiormente i titolari del trattamento sulla protezione dei dati e sulla valutazione a priori dei rischi di possibili violazioni.
- uniformare e armonizzare la disciplina sulla protezione dei dati personali all’interno dell’Unione Europea, eliminando le barriere che le diverse normative nazionali avevano creato, barriere che – ostacolando di fatto la libera circolazione dei dati tra una nazione e l’altra – frenavano lo sviluppo del mercato unico digitale, penalizzando le imprese europee.
Rispetto alle precedenti normative sulla privacy, il GDPR presenta una serie di novità, e in particolare:
- si applica ai dati di tutti i cittadini europei e a tutte le società che trattano o gestiscono tali dati (a prescindere dal Paese in cui hanno la sede legale o in cui i dati vengono elaborati)
- prevede che il consenso al trattamento dei dati debba essere informato, libero e anche esplicito (non è ammesso in alcun modo il consenso tacito o presunto)
- stabilisce che la tutela dei dati personali debba avere un’impostazione predefinita (Privacy by design e privacy by default)
- introduce la figura del DPO (Data Protection Officer), incaricato di assicurare una corretta gestione dei dati personali
- in caso di eventuali violazioni prevede sanzioni molto severe, con multe che possono arrivare fino al 4% del fatturato annuo o a 20 milioni di euro.
Comunque, e al di là dei singoli aspetti, il GDPR è innanzitutto un percorso culturale e una presa di consapevolezza che devono fare le aziende in relazione ai dati trattati. La Digital Transformation inizia proprio dalla individuazione e conoscenza del “valore dei dati” gestiti.
Alcuni giornalisti e opinionisti hanno scritto che il GDPR – in realtà – finisce paradossalmente con l’avvantaggiare i giganti come Google e Facebook, sia rispetto agli editori e alle piattaforme rivali nel mercato dell’ad-tech (che fanno più fatica a ottenere il consenso esplicito degli utenti), sia – in generale – rispetto a strutture più piccole, che non hanno le stesse possibilità di investimento in avvocati e tecnici. Condivide questa opinione?
Condivido sicuramente questo tipo di preoccupazione. IL GDPR non fa distinzione fra i grandi gruppi come Google o Facebook e i piccoli players: tutti sono sottoposti alla stessa normativa. Il risultato è che, mentre i grandi gruppi possono spendere cifre importanti per far fronte agli obblighi, i piccoli (che non hanno evidentemente le stesse possibilità di investimento), sono esposti a rischi notevoli e alla probabile perdita di quote di mercato. Questa situazione potrebbe determinare l’abbandono del campo da parte di molte aziende specializzate nella profilazione dell’utente, con il conseguente rischio di concedere ulteriore spazio ai giganti del web, in primis Facebook e Google, che hanno – tra l’altro – platee enormi di utenti più propensi a rilasciare il consenso. Se queste ipotesi si verificheranno andremo incontro a un oligopolio nel settore advertising, e a una situazione nella quale i grandi gruppi – praticamente senza più concorrenti – si troveranno ad accumulare e analizzare grandi quantità di dati “puliti”, cioè conformi al GDPR, pronti per essere venduti agli inserzionisti pubblicitari.
Il GDPR è un regolamento europeo. Com’è invece la situazione – dal punto di vista della privacy e della tutela dei dati personali – in altri Paesi?
Ci sono situazioni molto variabili nei diversi contesti, ed è impossibile in questa sede analizzarle tutte. Trovo interessante parlare degli USA, patria di molti giganti del web, e fare un confronto con L’Europa.
L’approccio in materia di protezione dei dati personali è stato negli ultimi anni molto diverso, tra USA e Ue. Mentre gli americani hanno sempre consultato esclusivamente le aziende, basando di conseguenza la regolamentazione su una bozza preparata dall’industria, le istituzioni europee hanno consultato le autorità di garanzia nazionali. Il risultato di questa diversità di approccio è che la regolamentazione americana si concentra di più sulla tutela degli interessi aziendali, mentre la regolamentazione europea mette l’accento soprattutto sulla tutela dei cittadini. Negli Usa al centro del sistema vi è l’autonomia dei privati e la libertà individuale, l’approccio è settoriale e la privacy è tutelata solo nell’ambito delle pratiche commerciali. L’Europa ha invece un approccio generalista (la privacy è tutelata indipendentemente dal settore di applicazione) e centralizzato, e la privacy è un diritto fondamentale dell’individuo. Oggi l’Europa è considerata l’alfiere della privacy: nell’Unione Europea la protezione dei dati è un diritto fondamentale delle persone e la privacy è tutelata indipendentemente dal settore di applicazione, con norme uniformi in tutti e 28 gli stati membri. Negli Stati Uniti, invece, non c’è un principio unico da declinare nelle differenti aree e quindi si applicano delle norme diverse a seconda dello specifico settore di applicazione (dal credito alla salute). L’approccio americano è sicuramente più efficace ed è maggiormente adattabile ai cambiamenti tecnologici, ma la natura settoriale dell’approccio determina una moltiplicazione delle norme che rende estremamente difficile per il cittadino conoscere effettivamente i suoi diritti. La prospettiva del nuovo Regolamento Europeo (GDPR), a mio parere, porta degli innegabili vantaggi rispetto agli Stati Uniti: semplifica e stabilisce una serie di paletti e meccanismi comuni a tutti i settori attraverso tutti gli stati dell’Unione. Negli Stati Uniti è invece necessario cercare, settore per settore, quale sia la normativa che si applica e quali i precedenti giudiziari, spesso con problemi di interpretazione, e questo genera un’area di incertezza relativamente a quale decisione potrebbe prendere un giudice se si dovesse andare in tribunale.
Nonostante il GDPR sia di fatto operativo già da tempo (a partire dal 25 maggio 2018), ancora oggi molte aziende sono inadeguate o non pienamente a norma rispetto alle nuove regole, rischiando in questo modo – in caso di controlli – di andare incontro a multe e sanzioni. Quali sono gli equivoci e gli errori ricorrenti nella percezione e nel “dibattito” interno alle aziende in materia di GDPR?
Le realtà che sono state capaci di rispondere adeguatamente agli stringenti parametri della normativa europea sono state soprattutto le grandi aziende, mentre molte piccole e medie imprese italiane non si sono adeguate al GDPR, alcune causa disinformazione (ad esempio la proroga del Decreto per l’adeguamento della normativa nazionale, inizialmente prevista per il 21 maggio e poi slittata in avanti, è stata interpretata come proroga per l’applicabilità del GDPR), altre perché hanno completamente sottovalutato il tema, senza essere ben consapevoli dei rischi. D’altronde il GDPR ha anche un forte impatto su alcune dinamiche organizzative delle aziende, e molte PMI – non avendo generalmente competenze specifiche – non sanno bene come valutare e gestire il processo di adeguamento alla nuova privacy europea. Per molte piccole e medie imprese non si tratta di un semplice adeguamento per colmare alcune lacune, ma di un radicale cambio di approccio alla privacy, che richiede l’adozione di politiche e metodologie, spesso non contemplate, che consentano da una parte di analizzare i rischi di violazione dei dati personali, e dall’altra di attuare le misure tecnico/organizzative atte a proteggere i dati personali, e a consentire una efficace reazione – nei tempi e nei modi indicati dalla norma – in caso di violazione. Il problema è tutt’altro che secondario e per molte PMI si pone il rischio di dover posticipare (o perfino eliminare) investimenti nello sviluppo di nuove tecnologie e/o di nuovi prodotti a causa della necessità di investire risorse non programmate per adempiere alla nuova normativa sulla privacy. Anche perché non va dimenticato che il GDPR – per come è impostato – non consente di applicare “lo stretto necessario”: o lo si applica o non lo si aplica, e l’applicazione parziale delle norme non serve a nulla e non elimina il rischio di sanzioni. La protezione non adeguata dei dati aziendali, di cui i dati personali sono un subset, ha sicuramente un impatto molto significativo sulla sopravvivenza dell’azienda, ma questo è tutt’altro che assurdo perché i dati sono il “vero valore” di un’azienda, ed è questa è la presa di consapevolezza e la rivoluzione culturale alla quale siamo chiamati.
Il GDPR viene dunque percepito dalla quasi totalità delle aziende come l’ennesimo puntello burocratico a cui far fronte penalizzando il proprio core business. È almeno in parte d’accordo oppure pensa che il GDPR possa costituire un’opportunità per le aziende di migliorare il know-how digitale del proprio personale e rendere più efficiente e sicura la propria struttura IT (tema che molte aziende oggi tendono a trascurare o a rimandare senza rendersi conto che non può essere procrastinato all’infinito)?
È importante capire che intraprendere con efficacia un programma di “Compliance al GDPR” ha impatti molto rilevanti anche a tutela dell’azienda stessa e sul medio termine porta benefici al suo business. L’adeguamento al nuovo regolamento dell’Unione Europea in materia di protezione dei dati personali è sicuramente impegnativo ma può essere per le aziende uno stimolo al cambiamento e un’opportunità di crescita, su almeno quattro fronti:
- Adeguamento dei processi aziendali: adeguarsi alla normativa è un’occasione per un’analisi mirata degli aspetti di tipo organizzativo e gestionale da migliorare; il beneficio sarà una maggiore efficienza e un incremento della produttività.
- Aggiornamento di sistemi ICT: rivedere la rete informatica aziendale e i software gestionali in ottica GDPR permette di migliorare l’operatività quotidiana e la sicurezza dei dati aziendali, che sono il vero valore dell’impresa; inoltre il GDPR è una spinta verso l’introduzione in azienda di quelle misure di cyber security che la tutelano dalle conseguenze e dai rischi di violazione dei dati; l’aumento del livello di sicurezza è sicuramente un vantaggio competitivo e una salvaguardia del punto di vista della business continuity.
- Salvaguardia della Brand Reputation: l’adeguamento alla nuova Privacy Europea, e il conseguente rispetto per i dati degli utenti trattati, sono fattori che trasmettono al cliente o al possibile cliente un’immagine positiva dell’azienda; la Data Protection diventa quindi un plus per l’immagine aziendale, che in caso di violazioni subirebbe un notevole danno.
- Digital Trasformation: con il GDPR emerge la necessità di regolare e migliorare la gestione, la condivisione e la protezione delle informazioni, con particolare attenzione ai dati personali; questa necessità può essere soddisfatta attraverso l’adozione di tecnologie digitali, come ad esempio la digitalizzazione dei documenti, la fatturazione elettronica, il cloud, ecc., tecnologie che sono fondamentali per l’applicazione del GDPR, in quanto consentono di implementare i processi di governance necessari alla gestione dei dati.
In sintesi: il GDPR, in un trend di mercato nell’ambito del quale le aziende si stanno spostando verso un contesto digitale, anche per quanto riguarda l’erogazione dei servizi ai propri clienti, va visto non come l’ennesimo balzello ma come un’occasione di evoluzione in linea con la Digital Transformation.