Ci siamo. Benvenuto GDPR!
Il 25 maggio è entrata in vigore un’unica normativa che regolamenta in modo uniforme la data protection dei cittadini di tutta Europa: il Regolamento UE 2016/679 (GDPR).
Chi, come me, si è occupato di questo tema presso i clienti, ha assistito nel corso degli ultimi mesi ad una vera e propria escalation di attenzione all’argomento, giunta, con l’approssimarsi della scadenza, a veri e propri atteggiamenti da “fine del mondo”, insospettabili fino a qualche mese fa e sorprendenti anche per chi si occupa della materia da tempo.
In un recente meeting, il Prof. Franco Pizzetti ha dichiarato che “il nuovo GDPR è una vera rivoluzione copernicana rispetto alla protezione dati che abbiamo conosciuto negli scorsi venti anni. Al centro del nuovo sistema sta la tutela di un diritto fondamentale riconosciuto a tutti gli europei ma anche la dichiarata volontà di aumentare la tutela dei dati per accrescere la fiducia degli europei nell’economia e nella società digitale. Insomma la nuova regolazione punta su accrescere la fiducia nella libera circolazione dei dati e nello sviluppo tecnologico. Per questo innalza la tutela e impone al titolare di valutare con attenzione i rischi dei suoi trattamenti e di adottare le misure necessarie secondo il principio cardine di responsabilita’ (accountability). Rispettare e applicare bene il GDPR non è un adempimento burocratico ma un investimento nella propria impresa e nello sviluppo della quarta rivoluzione industriale”.
Condivido e faccio proprio lo spirito delle parole del Prof. Pizzetti perché è importante che le imprese capiscano che il GDPR è un cambiamento di mentalità sostanziale e non un fardello che si neutralizza “producendo un po’ di carta e nominando un paio di persone qua e là”.
Purtroppo, a ridosso della scadenza del 25 maggio 2018, abbiamo assistito ad un vero fiume di carta e di documentazione informativa inviata tramite email a persone ignare e, spesso, anche a soggetti giuridici non coinvolti dal GDPR: moltissime società hanno ricevuto senza motivo richieste di acconsentire al trattamento dei loro dati personali!
Probabilmente il ritardo italiano con cui si è affrontata la materia, l’ansia di “dover fare qualcosa entro il 25 maggio” e la ricerca un po’ frettolosa di un consulente qualsiasi, senza appurarne le sue effettive conoscenze e competenze, hanno prodotto un risultato abnorme.
Il GDPR, però, è una normativa reale che guarda alla sostanza delle cose e non alla sua mera forma.
È inutile, quindi, che ci chiediate – situazione in cui mi sono imbattuto più volte nel mese di maggio – di “farci l’informativa” se prima non ci avete dato il tempo di svolgere una seria analisi della vostra organizzazione aziendale e di come vengono effettivamente trattati i dati al suo interno.
Un’informativa che non rispecchia la realtà è forse peggio di una mancata informativa, perché trae addirittura in inganno l’interessato sull’uso dei suoi dati e, quindi, gli crea un affidamento ed una falsa rappresentazione della realtà che lo induce ad un’azione (consegnare i suoi dati) che altrimenti non avrebbe compiuto.
Non credo, pertanto, inutile ribadire anch’io che il GDPR è una normativa che bada alla sostanza delle cose e che chiede un’applicazione coscienziosa, attenta, aderente alla specifica realtà imprenditoriale di ciascuno: le norme del Regolamento devono essere applicate con buon senso e serietà.
La carta vi può servire per accendere il caminetto di casa ma non vi rende più compliant al GDPR senza un’adeguata ed effettiva analisi di rischio.