L’entrata in vigore del nuovo regolamento europeo ha imposto alle aziende l’applicazione di procedure che garantiscano la protezione dei dati personali. Ma i benefici possono essere superiori agli oneri.

Il regolamento generale sulla protezione dei dati personali, il Gdpr, è stato introdotto a fine maggio e molto è stato detto sui cambiamenti che esso introduce, sulle sanzioni previste (significativamente più alte di quelle applicate fino a oggi) e sulle sfide che questo adeguamento comporta per le aziende.

È però anche lecito e doveroso chiedersi se questa normativa determini anche dei vantaggi, in un mercato dominato dall’importanza dell’innovazione e dalla ricchezza costituita dai dati. In base al Gdpr, le aziende che trattano le informazioni personali devono essere in grado di dimostrare la conformità al nuovo regolamento e soprattutto di documentare i processi decisionali alla base delle loro procedure di gestione dei dati (vedi per esempio i requisiti relativi alla mappatura dei trattamenti, alla “privacy by design” e “by default”, alle valutazioni di impatto). 

Tutto questo è sicuramente un onere per le aziende, ma è necessario vedere anche la ricaduta positiva che simili adempimenti possono avere. Finora, nonostante la legge attuale, è accaduto spesso che le informazioni relative alle misure di sicurezza adottate da un’impresa (anche in ottica di protezione degli asset aziendali) non fossero note o documentate, oppure documentate solo da un’unica risorsa dell’organizzazione, con il rischio di andare perse in caso di dipartita o allontanamento dall’azienda della tal risorsa.

Da oggi questo rischio non dovrebbe essere più possibile. Le realtà che trattano dati personali, attraverso una mappatura che va conservata nell’apposito registro e con procedure specifiche, saranno infatti sempre in grado di presidiare costantemente i trattamenti effettuati sui dati e di monitorare la compliance con i requisiti di legge.

A fronte di questa maggiore assunzione di responsabilità da parte delle aziende, inoltre, il Gdpr prevede un coinvolgimento minore delle autorità di controllo nella fase di progettazione e programmazione delle attività di gestione e protezione dei dati. Procedure interne volte a effettuare una valutazione dei rischi e a modulare gli adempimenti in relazione ai rischi connessi al trattamento delle informazioni vanno, di fatto, a sostituire quei processi di autorizzazione e approvazione operati dal Garante: processi che, prima del Gdpr, si traducevano in lungaggini e burocratismi. Le aziende possono quindi fare valutazioni internamente (si pensi al legittimo interesse o alle valutazioni di impatto) evitando iter di autorizzazione spesso sfuggenti al controllo dei titolari.

Nonostante la normativa precedente prevedesse già alcune delle norme contenute nel Gdpr nonostante alcuni adempimenti non siano tutto sommato così originali, c’è comunque da fare i conti anche con il fatto che molte innovazioni tecnologiche in passato sono avvenute senza che le aziende si curassero molto di alcune tematiche privacy rilevanti.

Ed è ovvio, quindi, che regolare adesso situazioni che per anni non sono state normate e nemmeno mai sanzionate può risultare particolarmente problematico. Il mancato adeguamento a questa normativa potrebbe dunque tradursi in una occasione mancata di “fare ordine” nei processi aziendali in cui si trattano i dati personali, nonché nel rischio di possibili sanzioni amministrative. Sanzioni che, come sappiamo, possono essere molto elevate.

Laura Liguori, partner Studio legale Portolano Cavallo