GDPR: alcune riflessioni

Se gli utenti guardano al GDPR con ottimismo, non altrettanto al momento si può dire per le aziende e gli imprenditori che hanno accolto l’entrata in vigore del GDPR come l’ennesimo adempimento di tipo burocratico, farraginoso e improduttivo, sanzionato per il caso di mancato adeguamento in maniera estremamente onerosa. Il Regolamento può invece rappresentare un’opportunità di crescita o almeno di miglioramento per molte aziende e per i liberi professionisti e gli studi professionali. Il commento dell' Avvocato Fossati sulla recente normativa sulla privacy.

Venerdì 25 maggio, dopo due anni di “preavviso”, è entrato ufficialmente in vigore in tutta Europa il nuovo “Regolamento generale per la tutela dei dati personali” (General Data Protection Regulation), noto a tutti come GDPR. In attesa di conoscere le norme nazionali di coordinamento al Regolamento che il Governo adotterà entro il 22 agosto prossimo - giusta la delega conferitagli con la legge 163/2017 - essendo ormai divenuto inapplicabile per l’Italia il Decreto Legislativo 196/2003, il c.d. Codice Privacy, facciamo alcune prime riflessioni.

Il Regolamento UE cambia in maniera radicale l'approccio alla protezione dei dati. Le novità più rilevanti sono: responsabilizzazione per imprese ed enti, maggiore trasparenza, nuovi diritti per le persone, più controllo sui propri dati. La nuova disciplina uniforma le regole in materia in tutti i Paesi dell’Unione, adeguando il quadro normativo al nuovo contesto sociale ed economico caratterizzato da un crescente ed incessante sviluppo tecnologico e da forme sempre più massicce e pervasive di scambio e di sfruttamento di dati, con il precipuo scopo di rafforzare le tutele poste a salvaguardia dei dati personali e i diritti degli individui.

La prima novità fondamentale del Regolamento è quella di essere integralmente applicabile anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti a persone presenti nel territorio dell'Unione o ne monitorano il comportamento. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le regole fissate dal Regolamento UE. Per i consumatori, il Regolamento nasce con la finalità di portare vantaggi, primo fra tutti una drastica riduzione della mole di comunicazioni (scritte o vocali) e messaggi pubblicitari indesiderati. Ogni utente ha ora il diritto di ricevere informazioni chiare sull’uso che viene fatto dei suoi dati personali, potrà trasferirli da un titolare del trattamento ad un altro, compresi i social network, vedrà rafforzato il suo diritto di far cancellare, anche on line, le informazioni non più necessarie rispetto alle finalità per le quali sono state raccolte (il c.d. diritto all'oblio).

Se gli utenti, dunque, guardano al GDPR con ottimismo, non altrettanto al momento si può dire per le aziende e gli imprenditori, che in questi mesi hanno dovuto adeguare (o pensare di adeguare) le loro organizzazioni alla normativa contemplata dal Regolamento. Gli adempimenti non riguardano soltanto i diritti degli utenti (come accennato, diritto di accesso, portabilità, cancellazione e rettifica dei dati e obbligo di richiesta del consenso esplicito per il loro utilizzo), ma comprendono altresì questioni più delicate anche di natura tecnico-informatica quali la valutazione dei rischi di compromissione dei dati (il cd. data breach), l'istituzione di un responsabile della protezione dei dati (Dpo), la tenuta di un registro del trattamento.

L’entrata in vigore del GDPR dunque è stata accolta dalle imprese come l’ennesimo adempimento di tipo burocratico, farraginoso e improduttivo, sanzionato per il caso di mancato adeguamento in maniera estremamente onerosa.

Il Regolamento può invece rappresentare un’opportunità di crescita o almeno di miglioramento per molte aziende, grandi e piccole che siano, e per i liberi professionisti e gli studi professionali. Un approccio più responsabile al trattamento e alla tutela dei dati non esclusivamente letta in chiave burocratica di adeguamento agli obblighi di legge, può costituire un’opportunità in una più ampia strategia di marketing volta a fornire ai clienti garanzie di trasparenza e di correttezza, che li rassicurano e aumentano il loro grado di fiducia verso l’azienda. Ad esempio, l’obbligo imposto dalle nuove norme di ottenere il consenso esplicito dai propri utenti, per poter continuare a inviare loro comunicazioni promozionali e non, comporta la necessità di risultare accattivanti. L’adeguamento al GDPR potrebbe costituire l’occasione giusta per gli imprenditori, per ripensare e riorganizzare in maniera incisiva il proprio rapporto con la clientela, potenziale e non, con i fornitori e anche con i dipendenti. L'aggiornamento dei dati personali può essere l’occasione per sostituire la bulimia delle comunicazioni con la qualità rimediando alla dissonanza cognitiva che affligge la comunicazione della maggior parte delle aziende di medie e piccole dimensioni, investendo risorse e tempo in una vera e radicale riorganizzazione delle strategie di marketing e di pubbliche relazioni. L’auspicio dunque è che la protezione dei dati non sia letta unicamente come obbligo formale, ma come una parte integrante e permanente dell’attività di aziende ed imprenditori, anche al fine di promuovere consapevolezza negli utenti sui loro diritti e sulle loro libertà.