Un obbligo che si traduce in un’opportunità di business. Un anno fa entravano in vigore le nuove regole sulla privacy e sulla gestione dei dati personali. Qualcuno lo temeva come un meteorite sulla terra. Chi invece ha saputo interpretare lo spirito, prima, e adottarlo in maniera funzionale alla propria attività ne ha tratto nuova competitività e spazi di business. Lo sottolinea l’avvocato udinese Elena Gaiofatto, che ha assistito numerose aziende ad affrontare questa rivoluzione.
A un anno dalla sua applicazione, che primo bilancio si può fare dell’efficacia di questa normativa?
“L’Autorità italiana garante per la protezione dati personali ha pubblicato un bilancio riferito al periodo successivo all’applicazione del Regolamento UE 2016/679, detto anche Gdpr, dal quale è emerso che anche in Italia il mondo delle imprese, delle organizzazioni e delle pubbliche amministrazioni ha recepito lo spirito della normativa e acquisito la consapevolezza della rilevanza dell’applicazione di questo Regolamento. Ciò anche nella specifica prospettiva delle opportunità che lo stesso offre in termini di competitività nel mercato e della tutela del patrimonio aziendale rappresentato dai dati. In ogni caso, per valutare lo status di applicazione occorre esaminare due differenti aspetti. Il primo riguarda la conoscenza e l’interesse che il Regolamento ha destato in capo ai titolari del trattamento e in tale ottica è emerso un bilancio positivo; il secondo ha a oggetto la sua effettiva e corretta implementazione nelle attività di trattamento dei dati personali da parte dei titolari stessi. Sotto questo profilo è emerso che per molti titolari l’adeguamento non è ancora stato attuato o è in itinere e ciò costituisce un rischio per le aziende, per gli enti e le organizzazioni”.
E le aziende come hanno reagito?
“Molti titolari del trattamento si sono adeguati ai dettami del Gdpr in prossimità della scadenza del 25 maggio 2018, sia per il timore di essere destinatari di rilevanti sanzioni amministrative, sia per aver compreso che tale adeguamento è divenuto necessario per l’azienda, in quanto conseguenza della richiesta di partner, fornitori, clienti e futuri clienti. Per rimanere nel mercato globale non si può non tenere conto delle richieste dei detti interlocutori. Si pensi poi anche al trattamento dei dati effettuato da molte aziende che basano il proprio business principalmente sulla vendita in e-commerce. Tali modalità richiedono l’applicazione di una specifica disciplina Privacy in merito alle informative e ai consensi propedeutici a un trattamento finalizzato al marketing o al semplice invio di newsletter. La riforma del Codice della Privacy, con il Gdpr, ha senza dubbio aumentato la sensibilità degli operatori del mercato e dei vertici delle aziende o degli enti, i quali hanno compreso che l’adeguamento risulta necessario per essere protagonisti sul mercato. È chiaro che nel prossimo futuro le aziende che non rispetteranno certi parametri, tra i quali l’adeguamento normativo anche in tema di Privacy, non avranno prospettive nel lungo termine”.
Quali sono stati gli ostacoli maggiori che hanno incontrato le aziende e come li hanno risolti?
“Gli ostacoli maggiori si concentrano prevalentemente nell’attuazione concreta delle misure di sicurezza con una prospettiva del tutto mutata rispetto al passato. Più precisamente con il Gdpr il titolare del trattamento deve porre in essere misure tecniche e organizzative adeguate, ad esempio la pseudonimizzazione o la cifratura, ed essere in grado di dimostrare che il trattamento sia conforme alla normativa vigente. Ciò potrà essere realizzato attuando i principi di protezione dei dati e tutelando in tal modo il dato personale fin dalla progettazione del trattamento. Il titolare deve inoltre mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati per impostazione predefinita solo i dati personali necessari per ogni specifica finalità di trattamento. Il nuovo approccio di Privacy by Design richiede al titolare un esame puntuale e preventivo del trattamento dei dati personali che desidera effettuare e degli strumenti utilizzati, nonché una verifica costante anche durante il trattamento medesimo. Tale esame deve tenere conto dello stato dell’arte e dei costi di attuazione, della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, così come dei rischi potenziali nei confronti degli interessati al trattamento. Il differente approccio rispetto al passato – anche nell’applicazione delle misure di sicurezza – ha determinato per i titolari una certa difficoltà alla luce del fatto che in passato ci si ispirava all’allegato B del Codice della Privacy che prevedeva una serie di misure da attuare e lasciava residui margini discrezionali di scelta al titolare. Con il Gdpr un’ampia responsabilità nella valutazione delle misure di sicurezza adeguate è stata posta a carico del titolare, il quale deve dar prova dell’attività svolta mediante la redazione di idonea documentazione che deve sostanziarsi in una pluralità di attività specifiche che devono essere dimostrabili a posteriori. Tale documentazione costituisce oggetto di riesame e costante aggiornamento sia alla luce delle eventuali variazioni delle necessità del titolare sia del progresso tecnologico in evoluzione continua. Altro profilo rilevante per le aziende è rappresentato dalla redazione del Registro dei trattamenti previsto per i titolari e responsabili con numero di dipendenti pari o superiore a 250 unità, qualora non effettuino trattamenti considerati dalla legge ‘a rischio’ come previsto dall’art. 30 paragrafo 5. Per contro, tutti coloro che effettuino trattamenti ‘a rischio’ sono obbligati a porlo in essere, indipendentemente dal numero dei dipendenti. Il Garante, nonostante il Regolamento non preveda tale adempimento come obbligatorio per tutti, ha fortemente consigliata l’adozione. Ciò alla luce del fatto che tale Registro costituisce uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte dell’Autorità Garante, ma anche ai fini dell’indispensabile valutazione e analisi del rischio che deve essere in costante aggiornamento all’interno della struttura aziendale o di un soggetto pubblico. Tale Registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante”.
Le aziende sono riuscite a trarre anche vantaggi competitivi?
“Vi è la necessità per le aziende e per le organizzazioni di dar corso all’implementazione del modello organizzativo Privacy con la finalità di essere maggiormente competitive nel mercato e per soddisfare le richieste di tutti i soggetti che operano a stretto contatto con il titolare. E ciò con particolare riferimento ai clienti già acquisiti e futuri. Non c’è dubbio che le organizzazioni che hanno già attuato tale modello stiano godendo dei relativi benefici. L’applicazione corretta del Regolamento infatti offre, tra le altre cose, l’opportunità alle aziende di aprire un nuovo canale di dialogo con i clienti e con quelli potenziali, intercettando i loro bisogni, le loro preferenze e orientare la propria offerta in modo mirato. Fino a un anno fa solo l’11% delle organizzazioni centrava i propri sforzi di conformità al Gdpr sui bisogni dei clienti. Tale dato percentuale è decisamente migliorato, alla luce del fatto che i consumatori si sono dimostrati più propensi a utilizzare la rete per finalità commerciali e ad aumentare conseguentemente le proprie transazioni in cambio della percezione di una maggiore trasparenza e tutela dei dati personali, da parte dei titolari. Oggi, rispetto al passato, le organizzazioni e le imprese che hanno adottato un modello privacy anche per la gestione del proprio sito web, hanno aumentato le vendite, con conseguente incremento del fatturato. Infatti, nell’ultimo anno è lievitato il numero delle transazioni online, proprio per quelle aziende che si sono maggiormente concentrate nella predisposizione di quanto previsto dal Gdpr per la tutela e la protezione dei dati”.