ACADEMY

LO STATO DEI LAVORI: IL GDPR A DUE MESI DALLA PIENA APPLICAZIONE.

Presto per fare bilanci, ma non per un primo giudizio sullo stato di applicazione.

25 | 07 | 2018

Dopo due mesi di piena applicazione del Regolamento Europeo n. 679/2016 in materia di protezione dei dati personali, è forse ancora presto per trarre un bilancio definitivo, ma sicuramente un primo giudizio sulla sensibilità che organizzazioni e liberi professionisti pongono a tale normativa può sicuramente essere fornito.

Se dal 25 maggio in molti si sono adoperati per fornire un’informativa privacy che fosse integrata rispetto a quanto illustrato dal dettato normativo (richiedendo in taluni casi anche di esprimere nuovamente il consenso già prestato in vigenza del codice privacy); è difficile tuttavia pensare che poco altro sia stato fatto in termini di “lavoro dietro le quinte”.

In quanti, infatti, possono affermare di aver un quadro chiaro ed esaustivo del proprio organigramma privacy? E quanti si sono già adoperati per avere un quadro chiaro ed esaustivo sotto il profilo dei trattamenti che la propria organizzazione effettua sia come Titolare, sia come Responsabile? E ancora, quante organizzazioni sono in grado di affermare di avere una procedura interna funzionale a dare un riscontro ai casi di data breach o alle legittime richieste di esercizio di diritti degli interessati?

Queste sono solo alcune delle domande che gli operatori devono porsi in ottica di compliance adeguata alla normativa in materia di protezione dei dati personali; avendo sempre presente che l’approccio di tipo paternalistico che caratterizzava il Codice privacy (Dlgs. 196/2003), ancora in vigore e pienamente applicabile nei casi in cui non dia luogo ad antinomie con il Regolamento Europeo (679/2016), viene meno cedendo il passo al principio di accountability, che richiede un approccio differente alla materia della protezione dei dati.

Essa, infatti, va letta non solo in chiave di adempimento al dettato normativo, ma anche in un’ottica di dimostrazione di conformità a quanto prescritto dal Regolamento.

Tutto quanto fino ad ora detto vale in chiave di piena libertà di azione da parte di Titolari e Responsabili in ordine all’adempimento richiesto dalla norma in un’ottica anglosassone del concepire la legge: questa, infatti, enuclea gli obiettivi da raggiungere senza tuttavia evidenziare quali siano le azioni necessarie per raggiungere il target imposto dalla norma.

Se questo, quindi, rappresenta il dato di partenza, occorre capire quali possano essere gli eventuali sviluppi dell’adeguamento al Regolamento Europeo.

Posto che, allo stato dell’arte, il quadro che si prospetta non può che essere migliorabile, occorre veicolare il messaggio secondo cui in un continente che va verso la creazione di un mercato unico europeo digitale (“digital single market”) con pretese di globalità, stante il campo di applicazione del GDPR, la precisa scelta di investire tempo e risorse (oggi) rappresenta un investimento per il domani, con un ritorno in termini di reputazione e di qualità di offerta di servizi.

In altre parole, in un’ottica di processo Europeo che avanza a grandi passi verso la piena integrazione, la presenza di un Regolamento che pone regole e prassi comuni a tutti i 27 Stati dell’Unione Europea rappresenta un punto di partenza per arrivare domani ad essere competitivi non solo ad un livello prettamente nazionale, ma anche europeo.

E come raggiungere questa ambiziosa previsione?

Attraverso la predisposizione di un piano operativo articolato per fasi: 1) Osservanza dello stato dell’arte, 2) Pianificazione delle attività, 3) Realizzazione delle attività pianificate, 4) Controllo-Audit periodico del risultato raggiunto, 5) Eventuali attività aggiuntive di intervento per le esigenze che si dovessero presentare.

A cura di Lorenzo Sforzini