Alessandra Bisi, avvocato processualista esperta in diritto del web, pone l’accento sugli aspetti leali dell’impato che il GDPR ha sulle organizzazioni.
Quali sono gli aspetti del Regolamento che sono di maggiore innovatività rispetto al regolamento sulla privacy vigente?
Con l’adozione della nuova normativa relativa alla protezione dei Dati Personali (non parliamo di privacy, per carità) finalmente il legislatore comunitario pare essersi reso conto del fatto che: “Data is the new oil”. I dati, in un contesto sempre più connesso e globalizzato, sono il punto di partenza necessario per qualsiasi business. Proprio per questo motivo ritengo che l’elemento di maggiore innovatività sia l’intenzione di creare un “level play field”, un insieme di regole comuni per tutti i Paesi comunitari. Ad oggi infatti permane un’enorme differenza tra la normativa italiana dei dati personali e quella degli altri Paesi europei e ciò ha reso – finora – particolarmente difficile l’adozione di modelli che fanno del proprio core business il trattamento dei dati. Basti pensare alla mera informativa sulla privacy. Prima dell’adozione del GDPR ogni società che avesse avuto intenzione di trattare i dati dei propri clienti doveva preoccuparsi di redigere un documento diverso a seconda della residenza dell’interessato, persino all’interno degli stessi confini europei. Di grande interesse saranno poi le declinazioni del principio dell’accountability, con particolare riferimento all’obbligo di notifica al Garante delle violazioni subite entro 72 ore, soprattutto a causa della sempre maggiore diffusione dei ransomware, ovvero i “virus del riscatto”.
Secondo la sua esperienza le aziende e gli enti stanno comprendendo i vantaggi (anche operativi) derivanti dall’adesione ai dettami GDPR o ne percepiscono (subendola) solamente la parte “mandatoria”?
Innanzitutto, ritengo opportuno precisare che, come ogni buon piano di allineamento o gestione della compliance, i vantaggi derivanti dall’adesione al GDPR si vedranno nel lungo periodo. All’inizio – come ovvio – i costi supereranno i benefici, ma sono fiduciosa del fatto che, grazie ad un’attenta opera di sensibilizzazione della clientela, il vantaggio competitivo non tarderà ad arrivare. Si pensi, ad esempio, alla recente ordinanza di ingiunzione nei confronti di una nota società di telecomunicazioni emessa dal Garante il 18 gennaio u.s. Nel caso di specie la società è stata sanzionata per € 840.000,00 per aver effettuato telefonate promozionali senza il consenso degli interessati. La parte “mandatoria” del GDPR ha il solo scopo di concretizzare il legittimo interesse dei cittadini comunitari a vedersi riconosciuti i propri diritti. In poche parole, l’adeguamento al GDPR deve essere visto come un’opportunità di acquisire una metodologia che permetta di migliorare i propri processi – quindi di acquisire una più vasta clientela – e non come uno “spauracchio”, soprattutto per le PMI italiane.
Su quali aspetti del Regolamento ritiene che le organizzazioni saranno maggiormente “scoperte” al momento dell’entrata in vigore del Regolamento, il 25 maggio?
Penso che in Italia ancora non ci si renda ben conto delle ricadute che un data breach può avere sulla reputazione dell’azienda e – in ipotesi ben più gravi – sui diritti fondamentali degli individui. Esemplare è stato il caso di Ashley Madison, sito d’incontri americano, tristemente noto per aver diffuso i dati dei propri utenti a seguito di un attacco informatico del gruppo di hacker Impact Team. Il danno provocato è stato ingente: la diffusione dei dati di ben 37 mila utenti che ha avuto come conseguenza ben tre casi di suicidio. Con il GDPR siamo chiamati ad un ruolo di maggiore responsabilità nell’adozione di tutti gli strumenti tecnici e organizzativi volti alla tutela dei dati personali. Per concludere, e voler dare una risposta puntuale alla sua domanda, ritengo che le Aziende italiane investiranno maggiormente – trend che è già in forte ascesa secondo quanto riportato da numerosi studi svolti sulla tematica – in sicurezza informatica. Le soluzioni adottate sinora risultano tuttavia a breve termine e auspico che, in breve tempo, le PMI si accorgeranno anche della necessità di una tutela legale in materia.
Se volete approfondire, leggete tutti gli articoli dello Speciale “Road to GDPR 2018”.
© RIPRODUZIONE RISERVATA
