Il Regolamento Generale Europeo n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GDPR), è entrato in vigore dallo scorso 25 maggio e ha avviato una fase di intensa riflessione in vista del prossimo termine di applicazione del 25 maggio 2018.
Termini come Privacy Impact Assessment, valutazione dei trattamenti, accountability, imputabilità, responsabilità, DPO (Data Protection Officer), stanno entrando nel linguaggio comune aziendale, generando interrogativi sul reale impatto che il necessario adeguamento avrà sui processi aziendali cosi come impostati e gestiti fino a oggi.
Si stima, tuttavia, che in Italia oltre la metà delle aziende non è e non sarà pronta alla scadenza del termine per l’armonizzazione di tutti gli Stati membri stabilito dal legislatore europeo, nonostante le sanzioni previste siano oltremodo severe, fino al 4% del fatturato annuo o a 20 milioni di euro.
Insieme al necessario e vivace dibattito sull’analisi ermeneutica e sulle specifiche soluzioni per l’applicazione dei diversi adempimenti ai trattamenti di dati più comuni e condivisi trasversalmente da qualsiasi impresa, a prescindere dalle specifiche dimensioni e dal fatturato, diventa sempre più impellente ragionare su soluzioni idonee a rendere meno “traumatica” e costosa l’introduzione anche nelle micro, piccole e medie aziende delle specifiche del Regolamento Generale Europeo.
In passato l’adeguamento privacy nelle PMI era spesso consistito in mere predisposizioni di informative e moduli di raccolta del consenso; le esigenze delle PMI rispetto agli adempimenti previsti dal d.lgs. n. 196 erano state prese in considerazione anche dal Garante italiano nel maggio del 2007, con l’emanazione della “Guida pratica e misure di semplificazione per le piccole e medie imprese”.
Oggi la digitalizzazione e l’interconnessione di quasi tutti i processi produttivi in ogni ambito non consente più applicazioni parziali o riduttive della legislazione basate sulla dimensione dell’impresa e giustificate dalla disponibilità di budget più o meno importanti, pena la stessa efficacia delle misure adottate non solo rispetto alla protezione del dato personale – obiettivo primario – ma anche rispetto alla protezione dell’informazione rilevante per il business e alla tutela dell’azienda stessa, sia in termini di immagine e di reputazione che di integrità finanziaria.
Lo stesso GDPR tuttavia tiene in considerazione la necessità di ponderare e distinguere la portata delle misure a protezione dei trattamenti anche in base alle dimensioni e al fatturato aziendale, prevedendo nella sezione 5 – “Codici di condotta e certificazione” – riferimenti alle esigenze specifiche delle micro, piccole e medie imprese e investendo esplicitamente anche associazioni e organismi rappresentativi delle categorie di titolari del trattamento o responsabili del trattamento del compito di ragionare su, e di contribuire alla, corretta applicazione del GDPR stesso.
Fermo restando la necessaria preliminare approvazione da parte delle autorità garanti nazionali dei possibili codici di condotta, l’opportunità di questo strumento diventa un’imperdibile occasione soprattutto per le rappresentanze di categoria di supportare le PMI italiane nei cambiamenti che il mercato, e ora anche il legislatore, rende improrogabili e mandatori.
Le associazioni e le rappresentanze di categoria, così come avvenuto in passato per esempio con le linee guida di Confindustria per l’introduzione dei modelli di organizzazione, gestione e controllo ai sensi del d.lgs. 231/2001, potrebbero dunque avviare attività di studio specifiche volte a individuare uno schema di base da fornire ai propri associati per accompagnarli nel percorso di adeguamento al GDPR, contribuendo allo stesso tempo in modo proattivo al lavoro di armonizzazione legislativa nel rispetto del principio di coerenza previsto dal legislatore europeo.
Le linee guida del Piano Industria 4.0 costituiscono una base di partenza perfetta su cui innestare percorsi di adeguamento al GDPR che tengano in realistica considerazione le necessità e le priorità di investimento delle PMI, evitando inutili e costose duplicazioni di interventi e spese.
Infatti, le tre principali linee guida del Piano Industria 4.0 – 1) operare in una logica di neutralità tecnologica; 2) intervenire con azioni orizzontali e non verticali o settoriali; 3) agire su fattori abilitanti – danno un quadro di riferimento sufficientemente generale per inquadrare misure adeguate e standard condivisibili anche per i trattamenti di dati personali, rendendo così possibile integrare by default e by design anche gli adempimenti privacy nei processi di innovazione che ciascuna impresa dovrà affrontare, pena la stessa sopravvivenza sul mercato.
Un approccio metodologico integrato degli elementi caratteristici dell’industria 4.0 e della smart factory con gli adempimenti del GDPR diventa così occasione di efficiente innovazione per le PMI, che includa compliance normativa e best practice internazionali, a partire per esempio dai concetti di fondo delle ISO/IEC 2700/2013 a prescindere dalla formale certificazione.
I benefici dell’adozione di questo approccio possono poi essere sfruttati per un ritorno positivo anche in termini di corporate social responsability e per l’utilizzo intelligente di tutte le misure agevolative del Piano Industria 4.0 previste dal Governo e dall’Europa.
Approfondiremo nei prossimi interventi possibili ambiti specifici di applicazione dell’approccio qui proposto ed esempi concreti di contenuti dei codici di condotta che costituiscano una sintesi condivisibile e conveniente di innovazione e compliance, accessibile anche dalle PMI italiane.
