Il 25 maggio 2018 il Regolamento Europeo 679/2016 sulla privacy diventerà applicabile in tutti gli Stati Membri, senza alcuna necessità di un intervento legislativo di recepimento da parte dei medesimi. Ma cosa stanno facendo le aziende italiane per adeguarsi?
Le conclusioni della ricerca condotta da Federprivacy sulla gestione della protezione dei dati nelle aziende italiane, con particolare riguardo all’adeguamento al Regolamento 670/2016 e all’obbligo di dotarsi di un Data Protection Officer (DPO), mettono in luce una situazione di incertezza.
Le maggiori difficoltà che le aziende stanno incontrando nell’adeguamento alla nuova normativa sono anzitutto di carattere pratico. Un progetto di adeguamento ha bisogno di risorse, finanziarie ed anche umane, che siano completamente dedicate ad esso all’interno di una azienda o di un gruppo. E purtroppo, non tutti sono in grado di sostenere questi costi e di dedicare ingenti risorse a tale obiettivo. Inoltre, spesso e volentieri le risorse dedicate a tali progetti sono coinvolte su altri importanti fronti e non riescono ad avere una visione di insieme relativamente ai trattamenti svolti dalle società. Si pensi ad esempio all’obbligo per le aziende, introdotto dal Regolamento, di redazione e tenuta di un registro dei trattamenti: anche se molte aziende in Italia hanno continuato ad aggiornare il Documento Programmatico per la Sicurezza nonostante la abrogazione del relativo obbligo nel 2012, molte aziende hanno difficoltà a ricostruire con esattezza tutti i trattamenti di dati personali che vengono effettuati internamente o delegati a terzi. La compliance con la normativa sulla protezione dei dati personali – spesso interpretata fino ad oggi – come una serie di documenti da implementare e conservare da qualche parte in azienda, deve trasformarsi in un insieme di processi e misure organizzative e tecniche che saranno tanto più stringenti quanto maggiori sono i rischi connessi ai trattamenti di dati personali effettuati dalle aziende. Questo richiede un cambio di prospettiva da parte di tutti, consulenti e aziende, per cui non sarà più possibile pensare a soluzioni ed approcci formalistici, ma occorrerà pianificare e realizzare un programma che dovrà necessariamente focalizzarsi su processi interni, valutazione delle situazioni concrete e dei relativi rischi.
Un’altra criticità è sicuramente l’incertezza introdotta dal Regolamento, che propone nuovi concetti ed obblighi ed ampi spazi di interpretazione che, in assenza di linee guida ed applicazione consolidata, costituiscono ancora delle “aree grigie” per molti. Si pensi ad esempio allo stesso ruolo del DPO, o ai concetti di larga scala o di rischio dalla cui definizione dipendono alcuni importanti obblighi di compliance previsti dal Regolamento.
Come emerge chiaramente dallo studio presentato da Federprivacy, nonostante tre aziende su quattro si siano dotate di una figura interna dedicata alla privacy e siano giustamente orientate a non perdere le iniziative e le risorse che sono già state dedicate alla protezione dei dati personali nel corso degli anni, è di tutta evidenza che ci siano delle difficoltà oggettive in relazione a tale obiettivo. Infatti, la circostanza che gli attuali responsabili della funzione privacy siano inseriti – per un’azienda su cinque – nell’area IT potrebbe fare sorgere conflitti di interesse. Più in generale la domanda è se le attuali funzioni privacy o compliance interne alle aziende possano allo stesso modo rivestire il ruolo di DPO alla luce dei requisiti di garanzia e indipendenza per tale ruolo previsti dal Regolamento. A mio avviso non è così scontato.
Inoltre, l’obbligo per un’azienda di condurre una valutazione di impatto sulla protezione dei dati in relazione ad un determinato trattamento sorge solo in alcuni casi, tra cui quelli in cui le attività principali del titolare o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, o i trattamenti, su larga scala, di categorie speciali di dati che a grandi linee (ma non c’è una esatta coincidenza tra le definizioni) possono ritenersi corrispondenti ai dati sensibili o giudiziari. C’è ancora molta incertezza su cosa debba intendersi per “attività principali” (ci sono aziende le cui attività principali non sono costituite da trattamenti di dati personali, ma per le quali il trattamento di dati personali si pone come necessario e ineludibile: l’esempio più semplice è forse quello degli ospedali) o per “larga scala” (si deve guardare alla dimensione quantitativa o qualitativa del trattamento? O meglio ad entrambe?). Nonostante il Gruppo Articolo 29 – organo che raccoglie al proprio interno le Autorità per la protezione dei dati personali degli Stati Membri – abbia fornito linee guida su alcuni di questi concetti a dicembre 2016, restano ancora molte incertezze.
Questa situazione, unita alle sanzioni elevate che il Regolamento introduce per le ipotesi di violazione degli obblighi introdotti dal medesimo, implica la necessità per le aziende di iniziare quanto prima il processo di adeguamento, senza lasciarsi spaventare dalle incertezze, ma iniziando a pianificare e implementare una strategia, fondata magari su liste di priorità, che possa consentire di non trovarsi completamente impreparati all’indomani del giorno in cui il Regolamento inizierà ad applicarsi (il 25 maggio 2018).
