Soro: “Le nuove norme Ue rafforzeranno le imprese”

Il Garante della privacy rassicura sull’impatto del regolamento al via dal 25 maggio “Niente proroghe, ma in avvio occorreranno un po’ di duttilità e di buon senso” .
(di Antonello Palmas, “La Nuova Sardegna”, 20 aprile 2018)

C’è una data che non lascia dormire sonni tranquilli: è il 25 maggio 2018, quando entrerà in vigore il temuto Gdpr, il Regolamento europeo per la protezione dei dati personali. Riguarda tantissime realtà che, oltre a non avere le idee chiare sui nuovi oneri, non sono preparate. Ne abbiamo parlato con Antonello Soro, presidente dell’Autorità Garante della privacy.

Che cosa cambierà con il Gdpr?

“Si tratta di un regolamento, e in quanto tale è direttamente applicabile in ogni suo elemento, per il quale non sono previsti atti di recepimento da parte degli Stati, e uniforma le norme in tutta la Ue. Per la prima volta introduce una disciplina organica di un diritto fondamentale come quello della protezione dei dati personali e sistematizza le tutele necessario in un ambito territoriale tanto vasto. Si applica non solo ai titolari di trattamento con sede nella Ue ma anche a quelli che, pur avendo sede in Paesi terzi, offrono servizi o monitorano il comportamento di persone che si trovano nella Ue. Ciò comporta una efficacia che nella società digitale è decisiva”.

Onere o valore aggiunto?

“Il Gdpr ha un approccio per certi versi rovesciato rispetto alla norma precedente: affida al titolare l’onere di valutare, in prima istanza, il grado di tutele adeguato ai propri trattamenti, mentre l’autorità garante ha un ruolo successivo di verifica. Questa innovazione è stata percepita inizialmente come una responsabilità aggiuntiva, forse un onere, ma in realtà è una novità positiva. Occorre responsabilizzarsi perché i dati non sono cifre aride inserite in un computer, ma tessere di un mosaico che ricompone noi stessi e il cui uso illecito può esporci a pericolo. E la capacità di protezione è un sinonimo di buona impresa, di competitività e buona reputazione. Un’impresa che non sa proteggere il proprio patrimonio informativo tendenzialmente si troverà emarginata dal mercato perché da una parte sarà vulnerabile ad attacchi informatici e furti di identità, dall’altra avendo indebolito le garanzie offerte su questo terreno ai clienti, sarà meno competitiva”.

La nuova figura del Dpo?

“Impresa e pubblica amministrazione hanno interesse a organizzare l’attività in maniera coerente con le nuove norme, hanno quindi bisogno anche di una nuova professionalità in grado di assicurare l’adeguatezza delle misure adottate a tutela dei dati. Il Dpo, in questo senso, è una figura centrale, in quanto deve mettere il titolare in condizione di dimostrare di aver fatto tutto quel che era necessario. Questo soggetto non solo lavora all’interno dell’impresa, ma è anche l’interlocutore privilegiato nei confronti del Garante”.

L’impressione è che molti non siano pronti.

“Lo sento dire, ma vorrei ricordare che tutti abbiamo avuto due anni di tempo per prepararci a questo appuntamento. E il regolamento Ue non è di quelli che nascono col pensiero recondito di poterne spostare la data di applicazione. È una norma europea di diritto primario che, in quanto tale, prevale sulle norme nazionali ed è applicabile a decorrere da due anni dall’approvazione, così da consentire ai titolari di prepararsi per tempo. Se poi qualcuno ha atteso l’ultima settimana, chiaro che avrà qualche difficoltà in più”.

C’è paura per i costi.

“Chiaro che non è un problema che dobbiamo porci noi, ma è l’imprenditore a doversi chiedere se ritenga più importante l’aspetto della gestione dei dati o la… sponsorizzazione della società di calcio. Si continua a pensare che mettere in regime di protezione i dati sia solo un onere burocratico. No, è un investimento. Sarebbe come se uno che fa impresa decidesse di lasciare aperto la notte l’ingresso dell’azienda. Proteggere i dati significa proteggere l’essenza più importante dell’attività”.

Piccoli e grandi realtà avranno uguali impegni?

“So dei timori delle piccole imprese. Ma il Gdpr prevede una serie di vincoli più significativi per le imprese di dimensioni importanti, ad esempio quelle oltre i 250 dipendenti tenute, tra l’altro, all’adozione del registro dei trattamenti. Poi c’è, a scalare, un uguale impegno per le aziende anche minori quando trattino dati sensibili o giudiziari o comunque con modalità caratterizzate da particolari rischi. Faccio un esempio: non si possono porre sullo stesso piano un parrucchiere e un laboratorio di analisi. Per cui il regolamento ha previsto una modulazione degli obblighi del titolari in ragione delle caratteristiche del trattamento. Inoltre il decreto legislativo di adeguamento dell’ordinamento inteno al Gdpr, nella versione approvata dal Consiglio dei ministri, prevede un’ulteriore semplificazione per le micro, piccole e medie imprese, rimettendo al garante la previsione di ulteriori semplificazioni”.

Spaventa l’entità delle sanzioni.

“Sono giustamente proporzionate al rischio che comporta il trattamento dei dati nella società digitale. È singolare quello che affermano alcuni osservatori che giudicano troppo deboli le nostre misure nei confronti di Google o Facebook, ma poi si sollevano criticità sulle cornici edittali previste in via generale in questa materia”.

Sarà pugno duro da subito?

“Abbiamo fatto decine di incontri, tanta comunicazione, ma siamo consapevoli che nella fase di avvio occorrerà un po’ di duttilità per governare col buon senso questo cambiamento. Niente proroghe, comunque”.

PRIVACY POLICY