Durante il primo anno di applicazione del Gdpr, abbiamo assistito a scandali e data breaches sempre più rilevanti e lesivi delle libertà degli utenti. Sono state rilevate violazioni di dati negli ambiti più sensibili e diversificati, dai social network, agli ospedali, passando per i Tribunali e gli operatori giudiziari. Eppure, in un tale contesto di inadeguatezza, secondo uno studio diffuso dalla Commissione Europea, l’Italia è tra i Paesi dell’UE meno consapevoli dell’esistenza del regolamento generale sulla protezione dei dati.
Le voci critiche nei confronti del Gdpr rilevano che la normativa sia caratterizzata da una forte genericità poiché detta alcuni princìpi che sono soggetti alla libera interpretazione del titolare e del responsabile del trattamento e per questo rendono difficilmente percepibile che cosa bisogna fare, nella quotidianità, per adeguarsi. Portavoce di questo orientamento è, tra i tanti, Fabrizio Sigillò, avvocato e docente di informatica giuridica dell’Università di Catanzaro, il quale sostiene che il precedente impianto regolamentare era, da questo punto di vista, molto più comprensibile: il titolare del trattamento, ad esempio, poteva sapere con certezza quali misure minime di sicurezza informatica adottare e, di conseguenza, era in grado di adeguarsi alla normativa compilando una sorta di check list.
La maggiore difficoltà riscontrata dalle Pmi e dalle pubbliche amministrazioni, che spesso non hanno risorse necessarie per sviluppare una “cultura della sicurezza” nelle proprie realtà, deriva da principio dell’accountability che, se declinato con rigidità e senza alcun collegamento con le esigenze di business, viene percepito come l’ennesimo adempimento “burocratico” imposto dall’alto.
Per questo motivo, secondo l’avvocato e presidente dell’Istituto Italiano per la Privacy, Luca Bolognini: “quello che si può auspicare non è l’applicazione rigida e letterale del Gdpr, ma bilanciata, ovvero che tenga conto dei princìpi di realismo, proporzionalità e ragionevolezza”.
E’ interessante notare come, durante questo primo anno di applicazione del Gdpr in pochi, tra gli operatori del diritto, si sono soffermati ad analizzare il disposto del considerando n. 4 della normativa: “Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità (…)”.
Il Gdpr non dovrebbe essere visto come un ostacolo all’innovazione o un ennesimo, rigido, adempimento burocratico da parte degli operatori, bensì come un’evoluzione organizzativa, volta a una maggiore tutela delle libertà degli interessati. Dal punto di vista delle imprese, però, l’adeguamento alla nuova normativa è stato fondamentalmente visto come un obbligo a cui adempiere al minor costo possibile per evitare le pesanti sanzioni che, ad oggi, non si sono ancora concretizzate.
Sul punto è interessante notare che il 19 maggio scorso si è ufficialmente concluso il periodo “transitorio” ed è quindi giunto il momento della verifica delle attività svolte, nella speranza che l’Autorità Garante intensifichi la propria attività di vigilanza e controllo, impedendo il trattamento dei dati personali ove assista a violazioni della normativa; in caso contrario l’Europa non potrà che perdere competitività in un mondo sempre più digitale ed interconnesso.
© RIPRODUZIONE RISERVATA