Privacy

GDPR, otto miti da sfatare. Ecco cosa bisogna fare

A otto mesi dalla piena entrata in vigore del GDPR, Anna Italiano, legal consultant di P4I, smonta i luoghi comuni che ancora circolano sulla nuova normativa della privacy dell’Ue. E spiega alle aziende italiane cosa occorra fare
Indice degli argomenti

Mito numero 1: Le sanzioni sono l’aspetto più significativo del GDPR:
Mito numero 2: Il GDPR interessa soltanto le imprese europee
Mito numero 3: Il GDPR è una normativa troppo complicata e complessa
Mito numero 4: IL GDPR riguarda soltanto le grandi imprese
Mito numero 5: È vero che il GDPR faciliterà la vita ad attori come Google e Facebook?
Mito numero 6: Il nuovo GDPR mi costringerà a ripensare da zero la mia impostazione in materia di dati personali
Mito numero 7: La mia azienda ad oggi non ha ancora fatto nulla per il GDPR. Ormai è troppo tardi per intervenire
Mito numero 8: Per adeguarsi al Gdpr occorre effettuare degli investimenti importanti da un punto di vista economico
Mancano appena otto mesi alla piena operatività del GDPR, prevista per il 25 maggio 2018. Una scadenza che agita non poco le aziende. Anche perché intorno al nuovo regolamento europeo sulla protezione dei dati personali circolano non poche leggende urbane, non dissipate neppure dalle decine di convegni organizzati e dagli articoli pubblicati. Per sfatare alcuni dei miti più diffusi quando si parla di GDPR (di cui si parlerà ampliamente in occasione di un apposito evento promosso da Arrow Ecs, in programma il prossimo 10 ottobre a Roma) Digital4Trade ha chiesto ad Anna Italiano, avvocato e legal consultant di P4I, di spiegare cosa preveda realmente la normativa.

Mito numero 1: Le sanzioni sono l’aspetto più significativo del GDPR:
È indubbio che le sanzioni costituiscono il grande spauracchio che porta le aziende a informarsi sugli obblighi previsti dalla normativa e ad adeguarsi di conseguenza. In realtà è vero che dal regolamento sono previsti dei massimali effettivamente molto alti (fino a 20 milioni di euro e sino al 4% del fatturato mondiale totale annuo dell’azienda). Ma in realtà queste cifre sono appunto soltanto dei massimali: ad oggi non si può dire come queste misure saranno declinate all’interno dei diversi Stati membri. In Italia il legislatore non ha ancora stabilito l’entità delle sanzioni, presumibilmente dovrà farlo entro la data in cui il regolamento sarà pienamente applicabile, cioè dal 25 maggio 2018. Quindi bisognerà aspettare questa data per capire quali saranno le sanzioni definitive in vigore nel nostro Paese. La minaccia di essere sottoposti a sanzioni in caso di inadempimento è forse la conseguenza più immediatamente percepibile ma non è certo l’unica: la perdita di dati, i rischi per la sicurezza, i connessi danni all’immagine sono degli aspetti non certo irrilevanti.

Anna Italiano, Legal consultant at Partners4Innovation
Mito numero 2: Il GDPR interessa soltanto le imprese europee
Non è così. Anche le aziende extraeuropee che offrono beni e servizi ai cittadini europei dovranno assolutamente conformarsi alle nuove prescrizioni, a prescindere da dove hanno la sede fisica o da dove risiedono i loro server. Dunque fa fede il principio della cittadinanza dei dati dell’interessato. Per quanto riguarda la Brexit, anche in caso di futura uscita dall’Ue, le aziende britanniche dovranno comunque conformarsi al principi sanciti dal Regolamento in relazione al trattamento dati dei cittadini comunitari.

 

 

Mito numero 3: Il GDPR è una normativa troppo complicata e complessa
Di per sé non si tratta di una normativa troppo complicata e complessa. Sicuramente è una normativa che va a incidere pesantemente su una materia su cui sinora non c’era stata la necessaria attenzione e sensibilità. Non è complesso perché gli adempimenti richiesti per conformarsi ai nuovi obblighi dettati dal legislatore europeo sono chiari. Inoltre, al contrario della normativa oggi vigente che sarà sostituita, semplifica molto per un certo verso gli adempimenti previsti. Ad esempio, in materia di sicurezza si passa dal precedente approccio alla compliance in senso di checklist, poiché la normativa vigente stabilisce ciò che è obbligatorio mettere in atto, ad un approccio alla compliance intesa come modello di gestione, che implica una maggiore responsabilizzazione del titolare del trattamento. Quest’ultimo, in autonomia, dovrà decidere qual è il livello di sicurezza adeguato rispetto ai trattamenti che andrà a porre in essere. Quindi il GDPR, offrendo delle linee guida, , demanda all’azienda che recepisce la normativa il compito di concretizzarle in azioni che ne garantiscano il rispetto, con il dovere di giustificare però costantemente la ratio delle proprie scelte di adeguatezza.

Mito numero 4: IL GDPR riguarda soltanto le grandi imprese
Essendo la normativa-cardine in materia di trattamenti dei dati personali, il GDPR ovviamente riguarda tutti coloro che trattano dati personali. Dunque interessa piccole e medie imprese così come le grandi organizzazioni. Queste ultime ovviamente sono più preparate e si sono mosse per tempo per recepirlo, anche perché per esse gli adempimenti da effettuare sono molto più onerosi. Vero è che all’interno della normativa sono previste delle semplificazioni per le Pmi. Per esempio, le aziende al di sotto dei 250 dipendenti sono esonerate dall’obbligo di redigere il registro dei trattamenti. Invece, l’obbligatorietà della figura del Data protection Officer è basata sulla tipologia di trattamenti effettuati piuttosto che sulla dimensione dell’impresa.

Mito numero 5: È vero che il GDPR faciliterà la vita ad attori come Google e Facebook?
Al contrario la normativa è anzi volta ad assicurare più rigore al trattamento dei dati personali svolto dai cosiddetti Over The Top, ovvero Facebook, Google e quanti altri, cioè a coloro cioè che utilizzano le reti per offrire i propri servizi a una platea vastissima e globale. Infatti, se si considerano tematiche come portabilità dei dati e diritto all’oblio, è chiaro che l’attenzione del legislatore europeo si è rivolta soprattutto a questi attori, piuttosto che alle piccole imprese.

Intermezzo promozionale ... continua la lettura dopo il box:

 

 

 

Mito numero 6: Il nuovo GDPR mi costringerà a ripensare da zero la mia impostazione in materia di dati personali
Probabilmente costringerà le imprese a mettere in piedi un modello di gestione della compliance rispetto altrattamntodei dati personali e, sicuramente, obbligherà a rivedere l’approccio rispetto alla data protection. La normativa richiede non solo un adeguamento nell’immediato, cioè entro la scadenza del 25 maggio 2018, ma anche una gestione e supervisione costante, quindi bisognerà pensare a mettere in piedi dei processi aziendali che permettano di presidiare gli adempimenti normativi nel tempo.

Mito numero 7: La mia azienda ad oggi non ha ancora fatto nulla per il GDPR. Ormai è troppo tardi per intervenire
In realtà non è mai troppo tardi per adeguarsi, anzi, come dice il proverbio, meglio tardi che mai. Anche se un’azienda dovesse rendersi conto di non riuscire a centrare il termine del 25 maggio del 2018, deve attivarsi da subito così da potersi mettersi in regola quanto prima con le prescrizioni del GDPR. Il consiglio è di iniziare quanto prima possibile, cercando di adeguare i trattamenti dati più rilevanti e più rischiosi all’interno dell’azienda. Il mito da sfatare è che ci possono essere dei rinvii rispetto alla data di scadenza, visto che il legislatore europeo sinora si è dimostrato meno propenso alle deroghe rispetto a quello italiano.

Mito numero 8: Per adeguarsi al Gdpr occorre effettuare degli investimenti importanti da un punto di vista economico
Dipende dalla dimensione aziendale e dal numero dei trattamenti posti in essere. Non è escluso che l’adeguamento alla normativa comporti degli investimenti in termini di sicurezza abbastanza rilevanti. Ad esempio per la criptazione dei dati, che è una misura caldamente consigliata dal regolamento e particolarmente opportuna per tutelarsi in relazione a trattamenti rilevanti o rischiosi. Oppure per la necessità di mettere in piedi dei sistemi per la cancellazione dei dati, una misura obbligatoria da mettere in atto una volta scaduti i termini previsti per la loro conservazione.

 

GDPR, otto miti da sfatare. Ecco cosa bisogna fare