GDPR “General Data Protection Regulation “ è il nuovo regolamento Europeo sulla privacy entrato in vigore il 25 maggio 2016. Dopo due anni di adeguamento, dal 25 maggio 2018, tutti gli Stati Membri dell’Unione Europea sono tenuti ad applicare le disposizioni di questo “Regolamento Europeo”. In Italia questa disposizione abroga quanto stabilito dalla direttiva 95/46/CE, detta “Direttiva Madre” sostituendo il “Codice Privacy”. Tutte le aziende, siano esse pubbliche o private, sono tenute ad adeguarsi.
GDPR perfeziona quanto già stabilito in materia di protezione dei dati personali nonché la circolazione degli stessi. La partenza di questo regolamento ha creato molteplici contrasti interpretativi nella prassi applicativa. L’Università Pegaso e le Associazioni Scelgo Europa e Futura AncisLink in un convegno tenutosi il 24 maggio a Roma hanno provato a fare chiarezza su cosa cambia per le pubbliche amministrazioni, per qualsiasi azienda pubblica o privata con cui sottoscriviamo un contratto in cui inseriamo i nostri dati personali, comprese le implicazioni che le nuove disposizioni hanno sui “semplici cittadini” quando usano la rete e i social network.
Le basi del nuovo regolamento
In tutti i Paesi dell’Ue dal 25 maggio 2018 è in vigore il nuovo regolamento che conta 99 articoli e 173 considerando. Il regolamento si rivolge anche a persone fuori UE che avendo contatti con Ue sono tenute a rispettare il regolamento promulgato dall’Unione. Il legislatore lascia la libertà di utilizzare i dati ma responsabilizza chi li usa. Nel 6° considerando si parla del diritto fondamentale dell’utilizzo dei dati, ma si dice anche che le nuove tecnologie trasformano l’utilizzo dei dati, quindi è necessaria una maggiore tutela per chi li fornisce e per chi li usa. Facebook e Cambridge Analitica sono gli esempi più attuali di manipolazione dei dati, usati in modo improprio, entrati nella vita lavorativa e privata hanno carpito in modo improprio i dati personali dei propri utenti, hanno commesso un illecito che dal 25 maggio 2018 è punibile con una multa del 4% del volume di affari complessivo annuo dell’impresa. I cambiamenti che la GDPR ha portato rispetto alla precedente legge del 1995 sono molteplici ma possiamo riassumerli come segue:
- Consenso semplificato: il consenso all’utilizzazione dei dati deve essere facilmente leggibile e comprensibile
- Protezione del corpo elettronico: misure tecniche atte a tutelare riservatezza, disponibilità, integrità, Resilienza
- Diritto di trasparenza: conferisce al firmatario di decidere sull’utilizzazione dei dati personali, incluso il diritto a richiedere ed ottenere la cancellazione dei propri dati personali
Sono state disposte regole condivisibili da sviluppare per la protezione dei dati sensibili. Ma quale è il limite della lecita divulgazione di un dato e cosa è un dato sensibile? Quando e dove sono nato, oppure il mio credo religioso, la mia ideologia politica o la mia appartenenza sindacale, il mio stato di salute? Se sono in un ospedale e il server dell’ospedale subisce un attacco informatico nel programma delle cartelli cliniche i medici il giorno dopo non possono effettuare gli interventi chirurgici urgenti, e il paziente può morire! Per questo sono necessarie regole condivise. Per questo motivo è urgente operare per la salvaguardia dei dati. Oggi la nostra vita non è più imperscrutabile. Con questa regolamentazione si parla di adempimenti a norme di principio, ma molti sono ancora i dubbi.
Non elenchiamo tutti i “96 articoli” e i “173 considerando” ma è proprio sul punto “protezione dei dati sensibili” che ci si domanda quale sia l’approccio del legislatore. La legge impone adeguamenti che rappresentano un cambiamento nel sistema organizzativo all’interno dell’azienda, un continuo aggiornamento e il decadimento del vecchio codice privacy.
Visto che il tessuto imprenditoriale italiano è costituito al 94% di PMI e che le multe in caso di inosservanza delle regole sono salate non è ancora chiaro se nelle aziende è necessario istituire una nuova figura professionale responsabile della progettazione del nuovo sistema informativo che risponda ai nuovi criteri.
Centinaia sono i “corsi privacy” e numerosi i convegni ma sono soltanto 4 le ore di corso per la preparazione di questa nuova figura professionale, destinata ad adempiere adeguatamente a tutti gli obblighi di legge. Ci domandiamo se 4 ore siano sufficienti a rendere autonomo e competente il responsabile nell’azienda. Il legislatore ha risposto che quattro ore possono essere una buona partenza per conoscere le misure minime e le misure idonee previste dalla legge ma che presto questa nuova figura professionale sarà necessaria.
Oggi è tutto digitalizzato, la nostra esistenza è “un corpo elettronico”. La persona è al centro di questo regolamento, tutti i Pesi UE si debbono conformare a queste regole, questa è una possibilità straordinaria. Quella europea è considerata la legislazione più sviluppata e più all’avanguardia, superiore a quella statunitense, ma ancora soggetta a miglioramenti e ad una maggiore regolamentazione. Francia, Spagna, Grecia e Italia sono in stand-by, soltanto i Paesi nordici come Germania, Danimarca, Belgio etc. hanno già adottato il nuovo regolamento.
L’Italia si è dichiarata non ancora pronta a seguire le nuove prescrizione, ad attuare i nuovi adempimenti. Per l’Italia il termine applicativo è slittato ad agosto 2018. Intanto Ingegneri, avvocati, commercialisti e altre figure professionali intasano le università che propongono mini master di 40 o di 80 ore nella speranza che questa direttiva diventi più comprensibile e crei nuovi posti di lavoro.
