Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

l'analisi

Buon compleanno GDPR, ma adesso arriva il bello: il bilancio e i prossimi scenari

Entrato in vigore il 24 maggio 2016, diventato operativo il 25 maggio 2018: il GDPR ha rivoluzionato l’approccio di aziende e cittadini alla privacy, diventata negli ultimi mesi materia prioritaria. Tuttavia il GDPR ancora viene visto come un mero obbligo cui adempiere, non come strumento utile di sviluppo dell’economia digitale. Questi i prossimi passi necessari, per una vera maturità dell’adozione

24 Mag 2019

Tempo di bilanci in materia di GDPR. E anche tempo di prendere la rincorsa per le sfide che attendono aziende e Paesi nei prossimi mesi.

Possiamo dire che il testo compie al contempo uno e tre anni: se nel 2018 il regolamento europeo è stato attuato a partire dal 25 maggio , è pur vero che è entrato in vigore il 24 maggio 2016.

In questi ultimi dodici mesi di applicazione della normativa, passato il panico da corsa alla compliance, è sicuramente aumentata la consapevolezza sulla privacy, ma è ancora viva l’idea che sia solo un noioso adempimento cui adeguarsi per obbligo di legge.

Eppure, per le aziende sarebbe necessario “capire che si tratta di uno strumento per favorire lo sviluppo economico“, ha commentato Francesco Pizzetti, docente di Diritto Costituzionale ed ex presidente dell’Autorità garante per la privacy.

GDPR: bilancio dell’anniversario

In occasione dell’anniversario, la Commissione europea ha diffuso un Eurobarometro con i dati Paese per Paese sulla consapevolezza riguardo all’esistenza del GDPR. Una panoramica interessante per valutare la diffusione della conoscenza riguardo questa materia.

Nella classifica, l’Italia non è in una buona posizione: è nella parte finale, con solo il 49% dei cittadini informati sul regolamento europeo in materia di protezione dei dati. Peggio la Francia, con il 44%, poco meglio il Belgio con il 53% e Grecia e Cipro con il 58% ciascuno.

Nella top five si trova al primo posto la Svezia con il 90%, seguita dall’Olanda con l’87%, la Polonia con l’86%, la Repubblica Ceca con l’85% e la Slovacchia con l’83%. Inoltre, in media il 57% degli europei sa che nel proprio Stato esiste un’autorità che si occupa della protezione dei dati personali. Un dato significativo, in quanto la percentuale è aumentata del 20% rispetto al 2015.

L’evoluzione della consapevolezza

Secondo Rocco Panetta, avvocato e country leader italiano dell’associazione IAPP, “dal lato delle medie e grandi aziende senz’altro il GDPR ha contribuito a far entrare la privacy nei Consigli d’amministrazione. Se prima, nonostante ci fosse un regime ricco di linee guida e sanzioni salate, la privacy non era considerata una priorità, adesso invece è in cima alla lista”.

L’esperto spiega che la prospettiva nelle aziende è cambiata: “Ogni azienda ha una storia a sé, ci sono molte variabili, ma sicuramente c’è stata una spinta in avanti verso la crescita della consapevolezza, che la privacy porti più garanzie per i cittadini e opportunità per le aziende che avendo dati migliori in linea con la legge hanno acquisito maggiore qualità”.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

Dal punto di vista delle pubbliche amministrazioni, “questi enti hanno beneficiato dell’obbligatorietà del DPO, che tra i privati invece lo è solo in certe circostanze – aggiunge Panetta -. Questo ha riportato sui banchi di scuola intere pletore di dipendenti pubblici che hanno dovuto capire come la privacy non fosse solo fatta di consenso e informativa. Nonostante il rischio di consulenze sottopagate e fare le cose al ribasso, la consapevolezza è aumentata”.

Per i cittadini invece “a parte il disgusto iniziale per essere inondati di informative, situazione che non ha facilitato la simpatia della materia, hanno imparato a gestire i loro diritti e a scrivere al DPO in caso di necessità”, conclude.

GDPR e sviluppo economico: un rapporto incompreso

L’attenzione verso le applicazioni del GDPR è aumentata: “Registro dei trattamenti, DPO, valutazioni d’impatto, ma il tutto è stato vissuto in larga misura in chiave burocratica come puri adempimenti, di cui la maggioranza non ha capito il valore e il significato – sottolinea Pizzetti -. Il regolamento è stato vissuto prima con preoccupazione poi come mero obbligo cui adempiere al minor costo possibile“.

Questa situazione secondo l’ex presidente del Garante della privacy è stato “conseguenza di un atteggiamento, che non ha nessun fondamento serio legislativo se non un invito, a dare più supporto all’attuazione della normativa che alla sanzione nel primo periodo“.

Di fronte a un atteggiamento tollerante, aggiunge Pizzetti, “la reazione è stata quella di pensare fino ora non ci sanzionano quindi facciamo il minimo in dispensabile. Ma questo significa aver perso un anno, perché la regolamentazione serve allo sviluppo economico del Paese e bisogna attuarla in modo intelligente”.

Non dunque un mero adempimento: “Pensare al GDPR solo come una cosa burocratica significa aver fatto male a sé stessi. Ora ci si aspetta che le società italiana ed europea capiscano e accettino la sfida dell’economia digitale, altrimenti l’Europa non può che perdere competitività“.

Un argomento strettamente legato alla gestione dei dati personali: “Il GDPR è essenziale per lo sviluppo dell’economia digitale, ha come scopo incrementare la fiducia dei cittadini nel mondo digitale. Proteggere i dati ha lo scopo di far crescere la fiducia delle persone, così come in assenza di fiducia nessuno salirebbe su un aeroplano – evidenzia Pizzetti -. Ovviamente il GDPR da solo non basta, bisogna applicarlo: il regolamento vuole aiutare le aziende che operano nel digitale ad avere la fiducia dei consumatori“.

Lo scenario futuro

Un anniversario che non è un traguardo, ma una tappa di un percorso in evoluzione: “Vedo molta positività, nessuno deve dormire sugli allori. La materia della protezione dati riguarda ogni soggetto e anche la vita dell’azienda, che è fatta di flussi di dati – consta Panetta -. Ora ci aspettiamo le sanzioni annunciate dai Garanti nazionali. Chiunque è soggetto a questa normativa, l’invito è guardare al rinnovo dei vertici dell’autorità garante, il che non significherà in nessun caso un cambio di passo”.

D’accordo anche Pizzetti: “Bisogna comprendere la logica di questa regolazione, che conta molto sia per quanto consente sia per i vincoli per tutelare la libertà delle persone. Non si è capito che non è una normativa interdittiva, ma finalizzata allo sviluppo”. L’attività sanzionatoria paradossalmente potrebbe rappresentare una spinta positiva: “Ci si aspetta che l’autorità applichi il GDPR adottando le sanzioni necessarie, che si attuino ispezioni, che si dedichino i prossimi mesi a una verifica sul punto a cui ci troviamo”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4