Privacy, da venerdì operative le nuove norme Ue. Parla l’esperta Annarita Pucillo: Ecco cosa occorre sapereMancano pochi giorni all’entrata in vigore del General Data Protection Regulation (Gdpr). Il 25 maggio 2018 diventerà operativo il Regolamento Europeo in materia di protezione dei dati personali che rappresenterà un vero cambio di passo per la gestione e la tutela dei dati personali.
Maggio sarà un mese importante per la privacy e per la cyber security perché oltre all’entrata in vigore del Gdpr, il Consiglio dei Ministri questo mese ha varato un decreto che recepisce la Direttiva Ue 2016/1148 (la cosidetta direttiva NIS – Network and Information Security) che prevede obblighi in materia di sicurezza delle reti e dei sistemi informativi nell’Unione europea.
Quale impatto questi provvedimenti avranno sulle imprese lo abbiamo chiesto all’ avvocato Annarita Pucillo, esperta in materia di privacy, cyber security e diritto applicato alle nuove tecnologie ed ai nuovi media.
Quale sarà l’impatto del Gdpr sull’attività delle imprese?
Il corretto trattamento dei dati introduce regole organizzative nuove. L’inosservanza delle prescrizioni comporta sanzioni pesanti, commisurate al fatturato dell’azienda. Inoltre, la normativa impone meccanismi di tracciabilità che costringeranno le imprese ad individuare i soggetti e le relative responsabilità. In definitiva, la gestione dei dati personali non sarà più esclusivamente un adempimento, ma sarà un processo aziendale che impatta sull’organizzazione nella sua complessità. Bisognerà affrontarlo con un approccio positivo, senza inutili allarmismi, con la consapevolezza di considerare l’adeguamento una opportunità per l’impresa.
In che senso un’opportunità?
La nuova sfida è capire cosa serve per proteggere i dati e sfruttarli al meglio, traendo massimo valore e vantaggio competitivo dal loro utilizzo, rispettando nel contempo i requisiti normativi. La piena conformità al GDPR sarà inoltre un vantaggio anche per l’organizzazione interna dell’azienda, che potrà mettere al sicuro informazioni rilevanti ed essenziali del suo core business.
Quali sono le novità principali introdotte dal Regolamento?
Le maggiori novità riguardano in primis l’approccio basato sul rischio, che fa in modo che le misure tecniche e organizzative da adottare siano decise dal titolare del trattamento dei dati (o dal responsabile) in rapporto al trattamento concretamente operato ed ai rischi individuati, seppure nel rispetto dei parametri individuati dal GDPR. Altra importante novità è rappresentata dall’introduzione del principio di responsabilizzazione (o accountability) che prevede che il titolare del trattamento dei dati non solo rispetti i principi che presiedono al trattamento degli stessi, ma anche che sia in grado di comprovare che li ha rispettati. Si sposta quindi l’asse della conformità alla normativa: il timone dell’adempimento è posto nelle mani del titolare del trattamento, che dovrà guidare la propria organizzazione attendendosi alle regole dettate dal legislatore ma non potrà più limitarsi supinamente a “flaggare” le caselle degli adempimenti tassativi dettati a monte dalla legge o dall’Autorità Garante; le imprese che hanno dimensioni o trattamenti diversi potranno adottare misure tecniche o organizzative differenti, sulla base dei rischi ai quali, concretamente, espongono i trattamenti.
Quali sono i pro ed i contro del nuovo regolamento sulla tutela dei dati personali?
Tra i “pro” ci sono il principio di accountability e l’approccio basato sul rischio: la protezione dei dati viene calata nelle singole realtà aziendali e si supera una burocratizzazione sterile data dalla ripetizione, spesso acritica, di adempimenti che non vengono degnati di alcuna reale attenzione. In questo senso si dice che la privacy è un asset: “più sarò bravo a rispettare la protezione dei dati, più posso valorizzare i dati personali che tratto, più sarò competitivo sul mercato”. Tra i “contro” c’è la possibilità di derogare alla normativa generale da parte dei singoli Stati membri. Questo aspetto rischia di aprire di nuovo alla frammentazione delle normative, se gli Stati decidessero di spingere ai limiti la facoltà di deroga che gli viene riconosciuta.
Sempre sul piano della normativa nazionale, tra i contro, c’è il rischio di avere interventi isolati e disorganici, a volte in apparente conflitto anche con il dettato regolamentare, che tendono a riburocratizzare invece che ad alleggerire, che confondono i titolari e rendono più difficile capire come rendersi conformi al regolamento. Tendenza questa che ha caratterizzato l’intervento del legislatore italiano negli ultimi mesi.
Le imprese si sono adeguate?
La mia sensazione è che molti non si siano ancora messi in regola e soprattutto non abbiano ben chiara la strategia da intraprendere. Molto importante l’opera di sensibilizzazione che è stata svolta ad esempio da Confindustria sul tema e da altre associazioni. Sto tenendo degli incontri in giro per l’Italia proprio per sensibilizzare gli imprenditori sul tema privacy con l’obiettivo di far comprendere che il Gdpr non deve essere inteso come l’ennesimo fardello o adempimento burocratico ma come un’ opportunità per le aziende.
Due tra i principali social network, Facebook ed Instagram, stanno chiedendo in questi giorni di acconsentire alla richiesta di trattamento dei dati personali ai propri utenti. Un tentativo di “riparare” ai danni creati recentemente dal caso Cambridge Analytica?
La privacy è una questione politica centrale della nostra epoca e si collega in maniera diretta con altri problemi posti dalle piattaforme del Big Tech: la loro posizione di dominio nel mercato della pubblicità in rete.
Il vero problema non sono le policy che aziende come Facebook o altri player dell’economia digitale chiedono agli utenti di accettare. I cittadini sono contenti di usare i servizi on line gratuiti anche se questo significa diventare a tutti gli effetti dei “prodotti”. Il problema di fondo è che siamo infastiditi quando riceviamo una telefonata di natura pubblicitaria mentre quando siamo chiamati a dare un assenso in rete lo facciamo in maniera istintiva senza porci alcun problema. Il problema di base infatti è la mancanza di consapevolezza dovuta al fatto che la raccolta e la compravendita dei nostri dati, di quelli che generiamo con ogni click, sono impercettibili.
Molti grandi operatori della rete si presentano come servizi gratuiti ma di fatto sono gli utenti a generare ricchezza attraverso la cessione dei dati. Il modello di business di molte delle piattaforme e di operatori della rete consiste nel guadagnare vendendo spazi pubblicitari costruiti sulle caratteristiche degli utenti che sono soggetti a continue operazioni di profilazione a volte effettuate senza alcun consenso alla stessa.
Gli utenti non si rendono conto di cosa significa cedere i propri dati? E se sì, perché?
Gli utenti sono contenti di rinunciare a questi dati pur di continuare ad avere la possibilità di accesso alla piattaforma in questione. Più si va avanti, più questa situazione solleva problemi nuovi e aumenta la complessità. Il caso Cambridge Analytica ci ha dimostrato che la complessità va gestita a livello di sistema: gli arbitri devono poter avere strumenti adeguati ed innovativi, e sempre un passo avanti. Credo che maggiore consapevolezza da parte di tutti, aziende ed utenti individuali, sia assolutamente necessaria. Ben vengano quindi le regolamentazioni e normative sulla privacy, necessarie all’acquisizione di una maggiore awareness collettiva. Un trend che auspico possa continuare anche in futuro.
