A otto mesi dalla piena entrata in vigore del GDPR, Anna Italiano, legal consultant di P4I, smonta i luoghi comuni che ancora circolano sulla nuova normativa della privacy dellโUe. E spiega alle aziende italiane cosa occorra fare
Indice degli argomenti
Mito numero 1: Le sanzioni sono lโaspetto piรน significativo del GDPR:
Mito numero 2: Il GDPR interessa soltanto le imprese europee
Mito numero 3: Il GDPR รจ una normativa troppo complicata e complessa
Mito numero 4: IL GDPR riguarda soltanto le grandi imprese
Mito numero 5: ร vero che il GDPR faciliterร la vita ad attori come Google e Facebook?
Mito numero 6: Il nuovo GDPR mi costringerร a ripensare da zero la mia impostazione in materia di dati personali
Mito numero 7: La mia azienda ad oggi non ha ancora fatto nulla per il GDPR. Ormai รจ troppo tardi per intervenire
Mito numero 8: Per adeguarsi al Gdpr occorre effettuare degli investimenti importanti da un punto di vista economico
Mancano appena otto mesiย alla piena operativitร del GDPR, prevista per il 25 maggio 2018. Una scadenza che agita non poco le aziende. Anche perchรฉ intorno al nuovo regolamento europeo sulla protezione dei dati personali circolano non poche leggende urbane, non dissipate neppure dalle decine di convegni organizzati e dagli articoli pubblicati. Per sfatare alcuni dei miti piรน diffusi quando si parla di GDPR (di cui si parlerร ampliamente in occasione di un apposito evento promosso da Arrow Ecs, in programma il prossimo 10 ottobre a Roma) Digital4Trade ha chiesto ad Anna Italiano, avvocato e legal consultant di P4I, di spiegare cosa preveda realmente la normativa.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Mito numero 1: Le sanzioni sono lโaspetto piรน significativo del GDPR:
ร indubbio che le sanzioni costituiscono il grande spauracchio che porta le aziende a informarsi sugli obblighi previsti dalla normativa e ad adeguarsi di conseguenza. In realtร รจ vero che dal regolamento sono previsti dei massimali effettivamente molto alti (fino a 20 milioni di euro e sino al 4% del fatturato mondiale totale annuo dellโazienda). Ma in realtร queste cifre sono appunto soltanto dei massimali: ad oggi non si puรฒ dire come queste misure saranno declinate allโinterno dei diversi Stati membri. In Italia il legislatore non ha ancora stabilito lโentitร delle sanzioni, presumibilmente dovrร farlo entro la data in cui il regolamento sarร pienamente applicabile, cioรจ dal 25 maggio 2018. Quindi bisognerร aspettare questa data per capire quali saranno le sanzioni definitive in vigore nel nostro Paese. La minaccia di essere sottoposti a sanzioni in caso di inadempimento รจ forse la conseguenza piรน immediatamente percepibile ma non รจ certo lโunica: la perdita di dati, i rischi per la sicurezza, i connessi danni allโimmagine sono degli aspetti non certo irrilevanti.
Anna Italiano, Legal consultant at Partners4Innovation
Mito numero 2: Il GDPR interessa soltanto le imprese europee
Non รจ cosรฌ. Anche le aziende extraeuropee che offrono beni e servizi ai cittadini europei dovranno assolutamente conformarsi alle nuove prescrizioni, a prescindere da dove hanno la sede fisica o da dove risiedono i loro server. Dunque fa fede il principio della cittadinanza dei dati dellโinteressato.ย Per quanto riguarda la Brexit, anche in caso di futura uscita dallโUe, le aziende britanniche dovranno comunque conformarsi al principi sanciti dal Regolamento in relazione al trattamento dati dei cittadini comunitari.
Mito numero 3: Il GDPR รจ una normativa troppo complicata e complessa
Di per sรฉ non si tratta di una normativa troppo complicata e complessa. Sicuramente รจ una normativa che va a incidere pesantemente su una materia su cui sinora non cโera stata la necessaria attenzione e sensibilitร . Non รจ complesso perchรฉ gli adempimenti richiesti per conformarsi ai nuovi obblighi dettati dal legislatore europeo sono chiari. Inoltre, al contrario della normativa oggi vigente che sarร sostituita, semplifica molto per un certo verso gli adempimenti previsti. Ad esempio, in materia di sicurezza si passa dal precedente approccio alla compliance in senso di checklist, poichรฉ la normativa vigente stabilisce ciรฒ che รจ obbligatorio mettere in atto, ad un approccio alla compliance intesa come modello di gestione, che implica una maggiore responsabilizzazione del titolare del trattamento. Questโultimo, in autonomia, dovrร decidere qual รจ il livello di sicurezza adeguato rispetto ai trattamenti che andrร a porre in essere. Quindi il GDPR, offrendo delle linee guida, , demanda allโazienda che recepisce la normativa il compito di concretizzarle in azioni che ne garantiscano il rispetto, con il dovere di giustificare perรฒ costantemente la ratio delle proprie scelte di adeguatezza.
Mito numero 4: IL GDPR riguarda soltanto le grandi imprese
Essendo la normativa-cardine in materia di trattamenti dei dati personali, il GDPR ovviamente riguarda tutti coloro che trattano dati personali. Dunque interessa piccole e medie imprese cosรฌ come le grandi organizzazioni. Queste ultime ovviamente sono piรน preparate e si sono mosse per tempo per recepirlo, anche perchรฉ per esse gli adempimenti da effettuare sono molto piรน onerosi. Vero รจ che allโinterno della normativa sono previste delle semplificazioni per le Pmi. Per esempio, le aziende al di sotto dei 250 dipendenti sono esonerate dallโobbligo di redigere il registro dei trattamenti. Invece, lโobbligatorietร della figura del Data protection Officer รจ basata sulla tipologia di trattamenti effettuati piuttosto che sulla dimensione dellโimpresa.
Mito numero 5: ร vero che il GDPR faciliterร la vita ad attori come Google e Facebook?
Al contrario la normativa รจ anzi volta ad assicurare piรน rigore al trattamento dei dati personali svolto dai cosiddetti Over The Top, ovveroย Facebook,ย Googleย e quanti altri, cioรจ a coloro cioรจ che utilizzano le reti per offrire i propri servizi a una platea vastissima e globale. Infatti, se si considerano tematiche come portabilitร dei dati e diritto allโoblio, รจ chiaro che lโattenzione del legislatore europeo si รจ rivolta soprattutto a questi attori, piuttosto che alle piccole imprese.
Intermezzo promozionale ... continua la lettura dopo il box:
Mito numero 6: Il nuovo GDPR mi costringerร a ripensare da zero la mia impostazione in materia di dati personali
Probabilmente costringerร le imprese a mettere in piedi un modello di gestione della compliance rispetto altrattamntodei dati personali e, sicuramente, obbligherร a rivedere lโapproccio rispetto alla data protection. La normativa richiede non solo un adeguamento nellโimmediato, cioรจ entro la scadenza del 25 maggio 2018, ma anche una gestione e supervisione costante, quindi bisognerร pensare a mettere in piedi dei processi aziendali che permettano di presidiare gli adempimenti normativi nel tempo.
Mito numero 7: La mia azienda ad oggi non ha ancora fatto nulla per il GDPR. Ormai รจ troppo tardi per intervenire
In realtร non รจ mai troppo tardi per adeguarsi, anzi, come dice il proverbio, meglio tardi che mai. Anche se unโazienda dovesse rendersi conto di non riuscire a centrare il termine del 25 maggio del 2018, deve attivarsi da subito cosรฌ da potersi mettersiย in regola quanto prima con le prescrizioni del GDPR.ย Il consiglio รจ di iniziare quanto prima possibile, cercando di adeguare i trattamenti dati piรน rilevanti e piรน rischiosi allโinterno dellโazienda. Il mito da sfatare รจ che ci possono essere dei rinvii rispetto alla data di scadenza, visto che il legislatore europeo sinora si รจ dimostrato meno propenso alle deroghe rispetto a quello italiano.
Mito numero 8: Per adeguarsi al Gdpr occorre effettuare degli investimenti importanti da un punto di vista economico
Dipende dalla dimensione aziendaleย e dal numero dei trattamenti posti in essere.ย Non รจ escluso che lโadeguamento alla normativa comporti degli investimenti in termini di sicurezza abbastanza rilevanti. Ad esempio per la criptazione dei dati, che รจ una misura caldamente consigliata dal regolamento e particolarmente opportuna per tutelarsi in relazione a trattamenti rilevanti o rischiosi. Oppure per la necessitร di mettere in piedi dei sistemi per la cancellazione dei dati, una misura obbligatoria da mettere in atto una volta scaduti i termini previsti per la loro conservazione.
