GDPR: un'opportunità per i professionisti delle Rp

Dallo scorso 25 maggio è in vigore il General Data Protection Regulation,il nuovo Regolamento europeo in materia di protezione dei dati personali. Una nuova sfida ma anche un'opportunità per i comunicatori che possono collaborare attivamente per tracciare una rotta sicura e fornire risposte adeguate al menrcato, come sostiene Teresella Consonni.

Il General Data Protection Regulation o GDPR, cioè il nuovo Regolamento europeo in materia di protezione dei dati personali, è legge dal 25 maggio in tutti i Paesi Ue: questo significa cheil Decreto legislativo n. 196/2003 (Codice privacy) non è più applicabile.

Se il governo avesse potuto esercitare la delega a esso conferita con la legge 25 ottobre 2017 n. 163 art. 13 e legiferare per la parte di competenza delle normative nazionali sarebbe  certo stato  utile. Il legislatore italiano,  tuttavia, non ha esercitato per tempo la delega prevista dall’art. 13 della Legge n. 163/2017 e non ha provveduto ancora  ad armonizzare le norme europee con quelle italiane. La delega prevedeva, infatti, che il governo adottasse - entro sei mesi dalla pubblicazione della legge di delega - un decreto legislativo di adeguamento della normativa italiana al GDPR, con riguardo unicamente alle materie in cui lo stesso GDPR prevede la competenza delle normative nazionali.

Tuttavia l’art. 13 comma 3, prevede che il governo eserciti la delega secondo le procedure previste dall’art. 32 della legge 24 dicembre 2012, n. 234. Questa norma, a sua volta, specifica che gli schemi dei decreti delegati siano inviati alle Commissioni parlamentari per il previsto parere e, quando manchino meno di 30 giorni alla scadenza della delega, tale scadenza è automaticamente prorogata per la durata di tre mesi. In virtù di questo richiamo all’art.32 della legge n. 234 del 2012, previsto dallo stesso art. 13 della legge n. 163 del 2017, il termine è prorogato di ulteriori tre mesi.

Due fatti devono essere evidenti.

Il primo: la delega al governo è prorogata di tre mesi e  scade il 22 agosto prossimo. Entro il 22 agosto 2018  la operazione  di adeguamento della normativa italiana al GDPR dovrebbe essere realizzata.

Il secondo: il GDPR è  ormai  di applicazione immediata per chiunque e non c’è nessun rinvio.

E, in mancanza del decreto di adeguamento, la soluzione più lineare da seguire - e la sola compatibile con il sistema delle fonti italiano ed europeo - è che l’intero Codice privacy, per la parte in contrasto con il  GDPR, non può più essere applicato dopo il 25 maggio, come rileva in un suo commento il professor Federico Pizzetti. Un  altro punto che deve essere chiaro  è che, a partire dal 25 maggio 2018, il GDPR deve essere pienamente e integralmente attuato, anche se non è ancora stato adottato il decreto delegato di adeguamento. Il Codice privacy, in virtù del rapporto che esiste tra Regolamento Ue e legge italiana secondo il sistema delle fonti ampliato al rapporto tra ordinamento italiano e ordinamento europeo, comporta la disapplicazione ex lege del Codice privacy  che è stato in vigore fino al 24 maggio scorso. Non  esiste nessun  dubbio, infatti,  che proprio il rapporto tra Regolamento europeo e legislazione nazionale comporta la disapplicazione della legislazione nazionale in contrasto con il Regolamento europeo. Quale che sia il contenuto dell’art. 13 della legge n. 163 del 2017 (legge di delega relativa al decreto di adeguamento) con la entrata in piena attuazione del GDPR il Codice di protezione dei dati personali, almeno per la parte con questo in contrasto, non può più essere applicato.

Dal 25 maggio 2018 anche in Italia, come in ogni altro Paese della Unione europea, deve trovare piena e integrale attuazione il GDPR e il Codice privacy, come ogni altra legislazione nazionale in contrasto col GDPR anche negli altri Paesi dell’Unione, deve essere disapplicato e cessa di essere in vigore. A partire dal 25 maggio 2018, la legge italiana di protezione dei dati personali è il GDPR, che è esplicitamente e chiaramente integrato anche dalla normativa nazionale nelle materie che la regolazione europea consente agli Stati di regolare.

Al momento  pare essere comunque in atto una sorta di corsa a fare il possibile, come testimonia la notevole quantità di e-mail che  si ricevono ogni giorno per sollecitare  consensi in modalità opt-in e opt-out: procedura sulla quale si possono fare valutazioni non solo in merito alla legittimità ma anche alla reale utilità.

Tutte le organizzazioni di qualsiasi natura e dimensione così  come  i singoli professionisti  hanno dovuto affrontare il tema  sotto il  profilo legale, organizzativo e tecnologico:  cambiamenti significativi  sono in atto nei  programmi di sicurezza da attivare, nel  modo di processare informazioni personali e di gestire le  infrastrutture ICT per assicurare la giusta cura, custodia, controllo e protezione dei dati che hanno origine nella Ue, come anche per garantire la protezione del diritto alla privacy per gli individui.

E le attività  per il GDPR determinano costi  anche importanti. I dati dell’Osservatorio Sicurezza & Privacy del Politecnico di Milano lo  confermano: il  75 per cento   del campione di  aziende intervistate testimonia  un aumento  del budget  per la sicurezza informatica, dovuto in  grande  misura ai progetti di adeguamento al GDPR. Nel  2017 il 23% delle aziende afferma di avere un budget con  previsione pluriennale in materia di sicurezza e il 35% di avere un budget annuale.

I  progetti di adeguamento al GDPR sono in  corso, anche ora, dopo la piena applicabilità della nuova normativa.

I compiti da affrontare sono molteplici  e complessi anche per via  della estensione della portata della definizione di “dati personali” con  inclusione di nomi, contatti, numeri e luoghi dei documenti d’identità, come anche  indirizzi IP, cookies e transazioni digitali.

In particolare alcuni punti richiamano l’attenzione:

• avere posto in essere l’analisi dei rischi e avere valutato l’adeguatezza  delle misure di sicurezza;


• avere  identificato e  precisato ruoli e  responsabilità tra chi controlla i dati (individuo/società) e prende decisioni sulle attività  con cui si processano  i dati, il cosiddetto “titolare del trattamento”  o “data controller” e chi  processa i dati: individuo/ società che stipula un accordo  per gestire e raccogliere i dati, il cosiddetto “responsabile del trattamento” o “data processor";


• avere provveduto alla gestione  del registro delle attività di trattamento;


• avere identificato e designato  le figure  di titolari e responsabili e le procedure operative adottate a salvaguardia dei dati;


• avere aggiornato i contratti (clienti e fornitori) in aderenza al dettato dell’art. 28 del GDPR;


• avere predisposto la nuova modulistica e in particolare le informative e i  consensi;


• avere scelto e adottato il nuovo modello organizzativo di data protection;


• avere, per chi obbligato alla scelta,  nominato il DPO;


• avere  provveduto  alla generazione del documento DPIA (Data Protection Impact Assessment). DPIA è il processo (previsto dall’art. 35 del Regolamento europeo 679/2016 – GDPR ) che il titolare del trattamento deve compiere qualora i trattamenti, quando  prevedano in particolare l’uso di nuove tecnologie,  presentino un rischio elevato per  diritti e  libertà delle persone fisiche;


• avere adottato procedure per la gestione dei diritti degli interessati;


• avere valutato e  stilato procedure  da adottare con immediatezza in caso di data breach;


• avere predisposto la formazione delle persone interessate al trattamento e verificato le garanzie  di conformità al GDPR dei fornitori  esterni, anche tecnici;


• avere  predisposto la codifica delle attività annuali di controllo e di verifica


• avere predisposto e tenere aggiornata la documentazione riferita a processi, procedure e informative in modo da avere con immediatezza disponibile, al bisogno, tutto quanto predisposto e realizzato in conformità al nuovo Regolamento-GDPR.

La nuova era digitale  porta  a una consapevolezza  diversa  riguardo al trattamento dei dati personali e della privacy e  ogni realtà organizzativa  e operativa  fa uso di Internet e di tecnologie della informazione e comunicazione (ICT) per raccogliere, processare,  condividere dati: i rischi di violazione della privacy, di possibili cyber  minacce o  di altre minacce informatiche non devono essere ignorati, anche perché la perdita dei dati costituisce un danno economico rilevante per l’attività di chiunque, sia singolo professionista sia organizzazione.

Certo le novità  portate dal GDPR sono positive per gli utenti in  quanto a  tutela e controllo dei dati, ma ne derivano varie criticità, in particolare, per le imprese medio-piccole, che  ancora non sono  del tutto preparate   e in grado  di applicare  significativi cambiamenti, anche per la esiguità delle risorse economiche disponibili per gli interventi di adeguamento al Regolamento.  Come accade per esempio nel caso si debba riconoscere il  diritto degli utenti di accedere alle proprie informazioni memorizzate o rilasciate in precedenza e di ottenere tali informazioni in un formato scritto in chiaro e facilmente trasferibile per poterle trasferire a un altro  soggetto prescelto allo scopo dalla persona protagonista della richiesta  di portabilità del dato.

L’aumento delle sanzioni per inadempienza alle prescrizioni del GDPR relative, in particolare, alla protezione dei dati e alla notifica di possibili data breach può porre in significativa difficoltà  molte organizzazioni. Tuttavia i rischi cibernetici riguardano tutti i settori e  sono una vera e propria  minaccia  per la sopravvivenza nel mercato, specie per  società  piccole che dispongono di risorse limitate e  hanno costruito il loro business magari su una sola linea di prodotti o servizi.

Anche come  risposta all’alto numero di “data breach” degli ultimi anni, la Unione europea  ha deciso  così di alzare il livello di protezione – e anche le sanzioni  – per la privacy. Regolamentazioni più stringenti, come il Regolamento Generale sulla Protezione dei Dati - GDPR sono ormai necessarie per prevenire futuri attacchi, dare agli utenti maggior accesso e controllo sui loro dati e sanzionare tutti coloro che non proteggono adeguatamente i dati che raccolgono e da cui ottengono profitto. La nuova normativa si applica a qualsiasi entità abbia una presenza nella Unione europea e stabilisce regole per chiunque gestisca, raccolga, conservi, trasferisca o faccia uso di dati di cittadini europei.

Le ridotte capacità d’investimento  delle Pmi e e delle micro imprese obbligano quindi a scelte faticose   in merito al processo di adeguamento al GDPR.

Alcune organizzazioni preferiscono interventi di tipo legale e puntano su un tipo di adeguamento a volte più formale che sostanziale della normativa: revisione delle informative, policies dei dipendenti e fornitori, registro del trattamento, regolamentazione del trasferimento dei dati e così via.

Altre organizzazioni fanno leva piuttosto su scelte tecniche  e colgono la opportunità  di riorganizzare infrastrutture IT spesso inadeguate anche al rispetto di misure minime già previste dal Codice della privacy. Basta pensare, ad esempio, all’assenza di sistemi di autorizzazione efficaci, alla necessità di creare piani di business continuity e di disaster recovery, all’uso di piattaforme cloud che non gestiscono il dato in modo “compliant" con la normativa europea o alla totale assenza di audit di seconda parte sui fornitori di servizi IT.

Poche appaiono per ora le organizzazioni che prendono in esame in modo complessivo i processi organizzativi e analizzano il percorso del dato dalla acquisizione alla raccolta alla gestione e alla classificazione, con verifiche  riguardo i supporti tecnici e di conservazione,  le politiche di privacy adottate, la formazione dei collaboratori, le credenziali di adeguamento al GDPR dei fornitori.

La stesura di procedure da mettere in vigore e da adottare  in merito ai dettami del Regolamento - in caso di data breach, cioè  di violazione del dato - va fatta in funzione di una analisi dettagliata di quanto esistente  e dei necessari interventi per risultare “compliant”: la soglia di attenzione preventiva deve essere alta  e tutta la comunicazione deve essere trasparente e comprensibile oltre a essere condivisa con tutti i soggetti coinvolti.

Compiti ai quali tutti gli operatori delle relazioni pubbliche possono fornire un supporto adeguato di competenze contribuendo anche a diffondere la consapevolezza della necessità della protezione del dato. Il GDPR può offrire a tutti  una opportunità unica non solo per trattare adeguatamente i dati personali dei propri dipendenti o di terzi (clienti, fornitori…) ma anche  per  attivare un sistema di protezione del proprio know-how: sempre più spesso messo in pericolo da attività illecite commesse  da cyber-criminali  e a volte  anche da  collaboratori o dipendenti  incauti, negligenti,  non formati adeguatamente sui rischi e sulle nuove necessità che il Regolamento impone.

Una nuova sfida si è aperta e possiamo collaborare attivamente per tracciare una rotta sicura e fornire risposte adeguate a un mercato che appare ancora piuttosto disorientato al riguardo.