Manca veramente poco: a partire dal 25 Maggio 2018 le aziende dovranno tassativamente applicare il GDPR (Regolamento 679/2016). Non è certo comparso improvvisamente: è già in vigore dal 24 Maggio 2016. Saranno bastati due “lunghi” anni per permettere alle imprese, soprattutto alle più piccole, di digerire ed assimilare un’integrazione dell’ordinamento giuridico europeo di tale portata?
La risposta pare a dir poco ovvia. Lo stato dell’arte è una situazione in cui nemmeno gli addetti ai lavori hanno veramente le idee chiare su alcuni nodi decisivi. Che dire, ad esempio, delle diverse Associazioni rappresentative dei consulenti esperti in materia di Privacy?
Basta scorrere i loro siti, partecipare ai numerosi convegni del momento o leggere le rispettive Newsletter per rilevare che non c’è accordo nemmeno sui requisiti di una figura centrale come quella del “Data Protection Officer”.
Se gli esperti non sono giunti ad una visione condivisa su un simile tema, il mondo imprenditoriale non solo non pare ancora allineato alla nuova normativa, ma si interroga ancora se e in che misura sia tenuto ad adeguarsi al nuovo Regolamento sulla Privacy. In vero, le imprese si erano zelantemente impegnate ad applicare la precedente normativa sulla privacy. Ad esempio, avevano immediatamente fatto proprio quanto disposto dal “Decreto semplificazioni” n° 5 del 2012, che aveva abrogato l’obbligo di redigere il “Documento Programmatico Sicurezza Dati”. Il passaparola, in quel caso, era stato fulmineo.
Dato che ci stiamo esprimendo su una pubblicazione dedicata a diffondere la cultura della sicurezza, pare coerente rappresentare una riflessione sfruttando un parallelismo con il diritto vigente in materia di sicurezza sul lavoro. La domanda, in quest’ottica, è la seguente: puoi proteggere quello che non sai di avere? Puoi elaborare un sistema interventi di prevenzione e protezione mirato alla salute e alla sicurezza di lavoratori che non sai di avere?
Il Documento di valutazione dei rischi
Qualsiasi consulente in materia di sicurezza sul lavoro, prima di elaborare un Documento di valutazione dei rischi (art. 28 D.Lgs. 81/08 e s.m.i.), si pone nella condizione di identificare i gruppi omogenei di lavoratori esposti. La sua analisi non può prescindere dal riconoscimento delle posizioni aziendali e delle relative mansioni svolte “in concreto” (art. 299 D.Lgs. 81/08 e s.m.i.). Ma non c’è bisogno di essere esperti del settore per capirlo. Coniugando il tema della sicurezza in altri ambiti, un qualsiasi imprenditore sa che censire o inventariare il patrimonio aziendale gli permette di mettere in atto una serie di azioni di tutela del medesimo.
Sicurezza dei dati e tutela della privacy
Un’accorta gestione di impresa presuppone la consapevolezza che il suddetto principio vale anche in materia di sicurezza dei dati e tutela della privacy. Pur essendo vero che la definizione di “dato personale” del D.Lgs. 196/03 è stata modificata togliendo il riferimento che vi faceva rientrare anche le informazioni relative alle ‘persona giuridiche, enti od associazioni” (modifica di cui all’art. 40, comma 2, lett. a), del decreto legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214), il GDPR 679/16 conferma in ogni caso che va tutelata “qualsiasi informazione riguardante una persona fisica identificata o identificabile”.
La realtà che spesso riscontriamo, invece, è che molte imprese non ha mai quantificato e qualificato le categorie di dati personali che trattano ed i relativi “trattamenti”, ossia le operazioni compiute con o senza l’ausilio di processi automatizzati ed applicate ai dati medesimi. In questo senso, ci si chiede se l’adempimento del “Registro dei Trattamenti” introdotto dall’art. 30 del Regolamento possa essere utile a prescindere dalle esclusioni di cui all’art. 30 comma 5.
Come potrebbe un imprenditore sapere quali tipologie di dati tratta la sua organizzazione se non li ha mai censiti? Come potrebbe escludere di mettere in atto dei trattamenti rischiosi se non ha mai effettuato un inventario degli stessi?
Nella rivoluzione del 4.0, potrebbe escludere di dover dimostrare una vigilanza sui trattamenti affidati in outsourcing? Potremmo elencare almeno un centinaio di altre domande retoriche, ma temiamo che la risposta rimarrà la stessa. E allora concludiamo ribadendo il punto: puoi proteggere ciò che non sai di avere?