Da maggio 2018 entrerà in vigore il nuovo Regolamento Europeo per la Protezione dei Dati Personali (GDPR). Cosa significa concretamente per le aziende? Lo abbiamo chiesto all'avvocato Massimiliano Pastore dello studio legale Smed Jorgensen, socio CAMIC, e professore presso la University of New York in Prague e l'Anglo-American University.
Il GDPR applica il concetto di “privacy by design”. Cosa significa?
«Per semplificare, è la nuova versione del vecchio detto “prevenire è meglio che curare”. “Privacy by design” (privacy progettata) comporterà che le aziende dovranno definire al loro interno le misure di tutela dei dati che devono esse stesse adottare per evitare violazioni normative. I governi sperano che così si riescano a prevenire, piuttosto che curare, i tanti mali che derivano dalle violazioni della “data security”, in particolare lo sfruttamento dei dati da parte della nuova criminalità organizzata. Secondo l’Interpol, cresceranno le truffe telematiche, i furti di identità e di informazioni aziendali. Oggi i dati personali sono in vendita; basta pensare che con qualche centinaia di euro chiunque può comprare un CD con migliaia di nomi e indirizzi di aziende e privati in tutta Europa e Stati Uniti».
La nuova norma europea aumenta la responsabilità di chi tratta i dati personali, aumentando le sanzioni e modalità di risarcimento e introducendo, ad esempio, la possibilità di effettuare class action. Quali sono le misure che devono adottare le imprese per evitare contravvenzioni?
«Dipende dall’impresa, appunto perché “privacy by design” è diverso rispetto a “privacy by legislation”. Tutte dovranno esaminare i loro processi interni per valutare i rischi in tutte le fasi in cui vengono a contatto con dati personali. Poi le strade si dividono a seconda del tipo di impresa. Per fare qualche esempio, alcune dovranno solo modificare i testi delle liberatorie, altre dovranno pensare a come rendere anonimi i documenti, cambiare il flusso interno delle informazioni, proteggere le informazioni attraverso pseudonimizzazione e addirittura incaricare un Data Protection Officer».
Molte aziende usano dati personali ricavati dalle piattaforme dei social network per poi usarli in campagne di comunicazione o tracciare il profilo dei propri clienti. In questo campo ci sono cambiamenti rilevanti?
«In alcune situazioni gli utenti dei social network avranno diritto ad obiettare l’utilizzo dei dati ai fini di marketing. Potranno anche accedere ai propri dati, ottenerne copia gratuita e chiedere che siano trasferiti ad un nuovo soggetto titolare. Avvisi e liberatorie dovrebbero diventare più chiare e concise. La violazione del GDPR, inoltre, dà titolo a richiedere il risarcimento dei danni, anche soltanto morali».
Secondo le autorità europee il peso amministrativo complessivo dovrebbe diminuire grazie a una serie di misure, come l'istituzione di un punto di contatto unico. Lei invece come valuta l'impatto del GDPR sul carico burocratico?
«Difficile fare una previsione, anche se si è tentati di dire che il punto di contatto unico è una buona idea per le società multinazionali. D’altra parte, col GDPR le imprese dovranno, pena sanzioni, notificare all’autorità garante gli incidenti che hanno compromesso la sicurezza dei dati che esse stesse gestiscono. Insomma, una sorta di auto-denuncia».
Una delle critiche arrivata al GDPR sostiene che le imprese dovranno fare maggiore ricorso a specialisti nel settore della protezione dei dati personali, che però scarseggiano sul mercato del lavoro. In Repubblica Ceca ci sono le professionalità necessarie per affrontare le nuove norme?
«Il punto andrebbe discusso con un esperto del settore reclutamento, piuttosto che un avvocato. La mia impressione, per quello che posso vedere attraverso i miei clienti, è che i veri professionisti del settore siano pochissimi, anche perché sul tema c’è ancora scarsa sensibilità del pubblico ed una certa sonnolenza delle autorità di vigilanza».
Fonte: Camic
Fonte fotografica: Massimiliano Pastore