Tempo di bilanci in materia di GDPR. E anche tempo di prendere la rincorsa per le sfide che attendono aziende e Paesi nei prossimi mesi.
Possiamo dire che il testo compie al contempo uno e tre anni: se nel 2018 il regolamento europeo è stato attuato a partire dal 25 maggio , è pur vero che è entrato in vigore il 24 maggio 2016.
In questi ultimi dodici mesi di applicazione della normativa, passato il panico da corsa alla compliance, è sicuramente aumentata la consapevolezza sulla privacy, ma è ancora viva l’idea che sia solo un noioso adempimento cui adeguarsi per obbligo di legge.
Eppure, per le aziende sarebbe necessario “capire che si tratta di uno strumento per favorire lo sviluppo economico“, ha commentato Francesco Pizzetti, docente di Diritto Costituzionale ed ex presidente dell’Autorità garante per la privacy.
Indice degli argomenti
GDPR: bilancio dell’anniversario
In occasione dell’anniversario, la Commissione europea ha diffuso un Eurobarometro con i dati Paese per Paese sulla consapevolezza riguardo all’esistenza del GDPR. Una panoramica interessante per valutare la diffusione della conoscenza riguardo questa materia.
Nella classifica, l’Italia non è in una buona posizione: è nella parte finale, con solo il 49% dei cittadini informati sul regolamento europeo in materia di protezione dei dati. Peggio la Francia, con il 44%, poco meglio il Belgio con il 53% e Grecia e Cipro con il 58% ciascuno.
Nella top five si trova al primo posto la Svezia con il 90%, seguita dall’Olanda con l’87%, la Polonia con l’86%, la Repubblica Ceca con l’85% e la Slovacchia con l’83%. Inoltre, in media il 57% degli europei sa che nel proprio Stato esiste un’autorità che si occupa della protezione dei dati personali. Un dato significativo, in quanto la percentuale è aumentata del 20% rispetto al 2015.
L’evoluzione della consapevolezza
Secondo Rocco Panetta, avvocato e country leader italiano dell’associazione IAPP, “dal lato delle medie e grandi aziende senz’altro il GDPR ha contribuito a far entrare la privacy nei Consigli d’amministrazione. Se prima, nonostante ci fosse un regime ricco di linee guida e sanzioni salate, la privacy non era considerata una priorità, adesso invece è in cima alla lista”.
L’esperto spiega che la prospettiva nelle aziende è cambiata: “Ogni azienda ha una storia a sé, ci sono molte variabili, ma sicuramente c’è stata una spinta in avanti verso la crescita della consapevolezza, che la privacy porti più garanzie per i cittadini e opportunità per le aziende che avendo dati migliori in linea con la legge hanno acquisito maggiore qualità”.
Dal punto di vista delle pubbliche amministrazioni, “questi enti hanno beneficiato dell’obbligatorietà del DPO, che tra i privati invece lo è solo in certe circostanze – aggiunge Panetta -. Questo ha riportato sui banchi di scuola intere pletore di dipendenti pubblici che hanno dovuto capire come la privacy non fosse solo fatta di consenso e informativa. Nonostante il rischio di consulenze sottopagate e fare le cose al ribasso, la consapevolezza è aumentata”.
Per i cittadini invece “a parte il disgusto iniziale per essere inondati di informative, situazione che non ha facilitato la simpatia della materia, hanno imparato a gestire i loro diritti e a scrivere al DPO in caso di necessità”, conclude.
GDPR e sviluppo economico: un rapporto incompreso
L’attenzione verso le applicazioni del GDPR è aumentata: “Registro dei trattamenti, DPO, valutazioni d’impatto, ma il tutto è stato vissuto in larga misura in chiave burocratica come puri adempimenti, di cui la maggioranza non ha capito il valore e il significato – sottolinea Pizzetti -. Il regolamento è stato vissuto prima con preoccupazione poi come mero obbligo cui adempiere al minor costo possibile“.
Questa situazione secondo l’ex presidente del Garante della privacy è stato “conseguenza di un atteggiamento, che non ha nessun fondamento serio legislativo se non un invito, a dare più supporto all’attuazione della normativa che alla sanzione nel primo periodo“.
Di fronte a un atteggiamento tollerante, aggiunge Pizzetti, “la reazione è stata quella di pensare fino ora non ci sanzionano quindi facciamo il minimo in dispensabile. Ma questo significa aver perso un anno, perché la regolamentazione serve allo sviluppo economico del Paese e bisogna attuarla in modo intelligente”.
Non dunque un mero adempimento: “Pensare al GDPR solo come una cosa burocratica significa aver fatto male a sé stessi. Ora ci si aspetta che le società italiana ed europea capiscano e accettino la sfida dell’economia digitale, altrimenti l’Europa non può che perdere competitività“.
Un argomento strettamente legato alla gestione dei dati personali: “Il GDPR è essenziale per lo sviluppo dell’economia digitale, ha come scopo incrementare la fiducia dei cittadini nel mondo digitale. Proteggere i dati ha lo scopo di far crescere la fiducia delle persone, così come in assenza di fiducia nessuno salirebbe su un aeroplano – evidenzia Pizzetti -. Ovviamente il GDPR da solo non basta, bisogna applicarlo: il regolamento vuole aiutare le aziende che operano nel digitale ad avere la fiducia dei consumatori“.
Lo scenario futuro
Un anniversario che non è un traguardo, ma una tappa di un percorso in evoluzione: “Vedo molta positività, nessuno deve dormire sugli allori. La materia della protezione dati riguarda ogni soggetto e anche la vita dell’azienda, che è fatta di flussi di dati – consta Panetta -. Ora ci aspettiamo le sanzioni annunciate dai Garanti nazionali. Chiunque è soggetto a questa normativa, l’invito è guardare al rinnovo dei vertici dell’autorità garante, il che non significherà in nessun caso un cambio di passo”.
D’accordo anche Pizzetti: “Bisogna comprendere la logica di questa regolazione, che conta molto sia per quanto consente sia per i vincoli per tutelare la libertà delle persone. Non si è capito che non è una normativa interdittiva, ma finalizzata allo sviluppo”. L’attività sanzionatoria paradossalmente potrebbe rappresentare una spinta positiva: “Ci si aspetta che l’autorità applichi il GDPR adottando le sanzioni necessarie, che si attuino ispezioni, che si dedichino i prossimi mesi a una verifica sul punto a cui ci troviamo”.