GDPR: la privacy da costo a risorsa
In data 25 maggio 2018, come ormai noto, è entrato in vigore il GDPR, e cioè il Regolamento UE 2016/679 che regolamenta il trattamento dei dati in tutta Europa.
All’approssimarsi dell’entrata in vigore e nei mesi seguenti si sono letti numerosi commenti e svolti molti eventi che spesso han portato a fraintendere lo spirito alla base del GDPR, con un approccio burocratico simile alla precedente normativa e tendenti a fare una sorta di “terrorismo psicologico” alle imprese italiane.
Non è raro quindi imbattersi in consulenti di vario tipo che, anche senza alcuna preparazione giuridica o in base a dei corsi di poche ore, riducono la norma a un insieme di documenti e adempimenti meramente burocratici, indicando al contempo misure di sicurezza degne di un sistema che custodisce importanti segreti militari.
La vecchia normativa privacy, in effetti, era una normativa che imponeva determinati obblighi senza lasciare grandi margini d’azione alle aziende. Ma anche la vecchia normativa, dobbiamo sottolineare, se attuata in maniera costruttiva e non rigidamente burocratica, poteva apportare indubbi vantaggi alle imprese.
Non va dimenticato che il Dlgs 196/03 per la prima volta ha introdotto concetti informatici di protezione lontani, all’epoca, dalle realtà imprenditoriali, contribuendo alla creazione di una cultura della sicurezza che ha preso sempre più piede negli anni.
In un momento storico profondamente diverso tanto dal 1996 (anno della Direttiva Europea precedente) quanto dal 2003 (anno della normativa nazionale precedente), il nuovo regolamento coglie le evoluzioni tecnologiche e della comunicazione e si pone, se adempiuto con uno spirito corretto, come uno strumento di revisione e obbligato ragionamento sui processi aziendali che coinvolgono i dati.
Il dato nell’epoca moderna è infatti divenuto un bene economicamente tangibile. Le società che hanno i cosiddetti “big data” sono società che fatturano miliardi di dollari e che, grazie a i dati, detengono un enorme potere.
Ma anche le aziende piccole e medie o i professionisti sono coinvolti in questa “rivoluzione”: i dati di un cliente o di un fornitore sono comunque un patrimonio aziendale da tutelare. Si pensi ad esempio ad una lista di clienti che vada in mano ad un concorrente: questi potrebbe carpire strategie commerciali o anche semplicemente cercare di “portare via” il cliente.
Senza considerare l’importante aspetto etico: un dato di un dipendente o di un paziente di un ospedale va tutelato al meglio, per rispetto della dignità umana dei soggetti che lo affidano a un Titolare del trattamento.
La nuova normativa quindi, ben consapevole del nuovo mondo digitale in cui viviamo e senza tuttavia dimenticare anche altri trattamenti quali ad esempio quelli che avvengono su supporti cartacei, sviluppa dei concetti di privacy by design e privacy by default che impongono alle aziende, non tanto di seguire dei precetti burocratici, quanto di costruirsi un proprio sistema, che deve essere in grado di tutelare i dati e di costituire un utile strumento probatorio per dimostrare tale protezione.
Quindi, ogni decisione aziendale in materia di privacy non può essere standard ma deve essere ragionata e giustificata. Si deve creare un “sistema privacy” fatto di procedure e controlli costanti, che possano anche apportare qualità ai processi aziendali.
Non basta fare “due carte” per essere a norma: farle senza ragionare sul proprio sistema di trattamento con procedure create ad hoc sarebbe praticamente inutile.
La stessa normativa, in più punti, proprio in quanto non può essere applicata da tutti in maniera uguale, fornisce solo delle linee guida, lasciando poi all’azienda la decisione sulla specifica misura e usando spesso le parole “se del caso”.
Così, ad esempio, le misure di sicurezza non sono più elencate esplicitamente ma ne vengono fissati dei criteri generali.
Ecco pertanto che l’azienda, partendo da una analisi dei rischi, deve valutare i propri processi aziendali che coinvolgono dati personali ed effettuare delle scelte logiche, che poi devono essere supportate e giustificate anche in fase di eventuale controllo.
La stessa informativa da rendere a chi conferisce i dati non può essere un modulo standard, così come non può essere standard un form di conferimento dei dati, andando per forza di cose analizzato al fine di verificare la necessità o meno della richiesta per la finalità perseguita e ciò in ottemperanza ad un principio di minimizzazione.
Anche nell’ambito del marketing il GDPR, se attuato in maniera corretta, non è un ostacolo ma un valido aiuto che permette in primis di inviare comunicazioni solo a chi realmente le vuole ricevere con risparmio di costi sull’invio di mail; in secondo luogopermettendo, grazie alla privacy by design, un controllo dei costi e benefici di una determinata campagna di raccolta dati anche in base al rischio di trattamento illecito, imponendo all’azienda di fare ragionamenti approfonditi in materia di rischio prima di fare una determinata campagna.
Recenti statistiche poi hanno rilevato come l’utente tenda a dare molta importanza al trattamento dei propri dati:
Nel mese di ottobre 2018 TOLOUNA (uno dei leader nei sondaggi di settore) ha rilevato che il 90% degli intervistati ha meno fiducia nelle aziende che non hanno informative chiare e non applicano il GDPR e un terzo ha persino affermato che non acquisterà più prodotti e servizi da quei brand.
Quindi la privacy può diventare strumento di fidelizzazione dei clienti. Se si lascia l’approccio meramente burocratico, a fronte di un approccio che sfrutti i vantaggi della normativa, si può davvero far diventare la normativa da costo a risorsa, evitando non solo le pesanti sanzioni, ma soprattutto i danni d’immagine e quelli conseguenti alla perdita di dati.
I dati sono una risorsa. Proteggiamoli!
Lorenzo Baldanello
AEG Corporation – Studio legale VBS
MAG nr.1, gennaio-febbraio 2019
