Una piccola, grande rivoluzione è alle porte. Ma chi sarà messo in prima linea ad affrontare il cambiamento, spesso, è ancora all’oscuro di quello che sta per succedere. La rivoluzione, di cui stiamo parlando, è il nuovo Regolamento Europeo sulla Privacy o GDPR (General Data Protection Regulation) 2018. Che sarà applicato dal prossimo 25 maggio in tutti i Paesi dell’Unione europea. Anche in Italia, dove sostituirà l’attuale Codice della Privacy. Coloro che, tra meno di tre mesi, saranno chiamati a fare i conti con la nuova normativa siamo tutti noi. Ma, in particolare, le imprese. Chiamate a predisporre ed attuare un surplus di controlli per proteggere tutti i dati personali forniti loro dai consumatori. Tra sanzioni pesanti, che arrivano fino a 20 milioni di euro o al 4% del fatturato, e un complesso impianto giuridico di riferimento, il cambio di prospettiva rispetto all’attuale normativa sulla privacy è netto. Se fino ad adesso, infatti, si è parlato di requisiti minimi per tutelare i dati personali e la persona fisica, ora la valutazione del rischio di una possibile violazione deve essere fatta in via preliminare dalle imprese. Che devono decidere, sostenendo i relativi costi di adeguamento ai sistemi informatici di sicurezza, quali dati personali detenere, dove, per quali finalità e per quanto tempo.
Una novità con ripercussioni importanti e non sempre di facile comprensione. E, così, proprio per dare un aiuto agli imprenditori, che dovranno sbrogliare la delicata matassa, Confimi Industria Monza Brianza ha organizzato un seminario dal titolo “Processo alla privacy 2018: quanto costa? Serve davvero?”. E, presso l’Helios Hotel in viale Elvezia a Monza, è andato in scena un processo giudiziario, naturalmente simulato, al nuovo Regolamento Europeo sulla Privacy. Due le tesi a confronto: l’accusa di chi pensa che sia l’ennesimo balzello a carico delle imprese. E la difesa di chi la ritiene, invece, un pilastro fondante dell’economia 4.0. Al termine delle arringhe dei due avvocati, realmente professionisti esperti, Bruno Arrigoni per l’accusa e Raffaella Oggioni per la difesa, coadiuvati dalla Consulente tecnico d’ufficio, la dott.ssa Susanna Previtali (Easytech srl), la sentenza del pubblico in sala non lascia spazi a dubbi. Quasi il 90% di chi ha assistito all’evento di Confimi Industria Monza Brianza è convinto che il nuovo Regolamento Europeo sulla Privacy o GDPR (General Data Protection Regulation) 2018 sia un ulteriore ed inutile costo per le imprese.
Le perplessità sulla nuova normativa, approvata dall’Unione Europea nel 2016, non mancano. Dalla lunghezza del testo di legge alla presunta discrezionalità di molti dei 99 articoli in esso contenuti. Dai costi che le imprese dovranno sostenere per adeguare i propri sistemi di sicurezza informatici alle disposizioni previste per la protezione dei dati personali al notevole importo economico delle sanzioni, per il momento ancora da definire in ambito penale. “Il nuovo Regolamento Europeo consta di ben 88 pagine, un numero elevato, che potrebbe essere giustificato dal fatto che la Privacy viene considerata un diritto fondamentale dell’uomo – spiega Arrigoni – se non fosse, però, che la normativa è poco chiara in troppi punti, lo dimostra anche l’uso eccessivo del condizionale, un tempo verbale che introduce elementi legati all’interpretazione e alla discrezionalità. A questo c’è da aggiungere che il rapporto tra costi e benefici è insostenibile, soprattutto per le piccole e medie imprese, visto che si tratta di fare non soltanto un investimento iniziale notevole, ma anche in progress e, per giunta, a rischio di inadempimento – continua – l’impressione è che la Ue voglia agevolare i grandi gruppi industriali e la disintermediazione delle catene distributive commerciali”.
I dubbi, d’altro canto, riguardano anche il sistema delle sanzioni. “L’art. 34 del Regolamento sulla Privacy concede 72 ore per comunicare al Garante la violazione dei dati personali in proprio possesso, valutare la stima dell’attacco informatico e mettere in atto le contromisure – spiega l’avvocato dell’accusa – eppure, però, poi nel testo normativo si afferma che non c’è l’obbligo di avvisare della violazione il titolare dei dati, quindi il diritto interessato, se questo comporta uno sforzo sproporzionato. Altra incongruenza – continua – è che le sanzioni previste favoriscono le aziende più grandi, visto che si parla di un massimo del 4% di fatturato oltre i 20 milioni di euro”.
Non tutto, comunque, può essere visto sotto una luce negativa. Il GDPR 2018 sembra nascondere anche delle opportunità. “Le imprese e i titolari del trattamento dei dati personali sono chiamati a fare scelte consapevoli – afferma l’avvocato Oggioni – il costo per adeguarsi ai sistemi informatici può essere proporzionato alle esigenze della singola azienda e, sul fronte sanzioni, sono previsti anche ammortamenti e richiami in base alla gravità della violazione subita”. Sempre a sostegno della tesi della difesa della nuova normativa sulla Privacy, ci sono anche ragionamenti strategici più generali. “C’è anche da considerare che adeguarsi alle disposizioni previste può offrire un vantaggio alle imprese in termini di immagine e di reputazione, elementi molto importanti per la fiducia dei consumatori – afferma la Consulente tecnico d’ufficio, la dott.ssa Susanna Previtali – i costi di consulenza, revisione e monitoraggio delle infrastrutture informatiche e dei sistemi di sicurezza, sebbene da valutare per ogni singolo caso, possono arrivare a 30mila euro – continua – ma probabilmente costerebbe di più ad un’azienda, tra intervento tecnico, le sanzioni previste dalla norma e il fermo produttivo, non adeguarsi e subire una violazione ed eventuale perdita dei dati personali”. Questioni quasi amletiche, dunque, aspettano le imprese italiane. Decidere cosa fare e come non sarà facile. Ecco perché Confimi Industria Monza Brianza è pronta a dare il proprio supporto. Come spiega anche il Direttore dell’associazione imprenditoriale, Edoardo Ranzini.
