Se si vuole parlare concretamente di GDPR in Italia, non si può prescindere dal considerare che la realtà profonda dell’economia italiana non è quella delle grandi banche o delle poche grandi imprese. Anzi. Il nostro tessuto imprenditoriale è composto per la gran parte da imprese medio-piccole, per le quali adeguarsi ai dettami del Gdpr – entrato nella piena vigenza ormai da circa un anno – è pressoché impossibile.
I rischi di questa mancata compliance, come vedremo, sono molti ma fortunatamente il legislatore si è posto il problema in anticipo, prevedendo, nel GDPR, strumenti (cioè articoli) finalizzati ad abbassare la complessità e quindi il costo della compliance, proprio pensando alle PMI, non solo italiane. Sono i Codici di condotta, normati dagli articoli 40 e 41 del Regolamento europeo redatti a cura delle associazioni di categoria a vantaggio degli operatori del proprio settore.
Vediamo di cosa si tratta e perché i Codici di condotta sono un’opportunità anche per le associazioni (sul tema, segnaliamo l’evento omonimo del 28 maggio a Roma).
Applicare il GDPR è complesso per tutti
La statistica è impietosa. Il nostro è il Paese europeo con il maggior numero di imprese ma, tra i grandi Paesi europei, è anche quella con il minor numero di imprese medio-grandi e grandi: il 28% del numero di imprese tedesche, il 77% di quelle francesi, la metà delle inglesi.
Per converso, ha quasi il doppio delle micro-imprese della Germania (Figura 1).
Se è difficile adeguarsi al GDPR per le grandi imprese, per le PMI con meno di 250 addetti, tutti concentrati sull’operatività, è addirittura impossibile.
Non è neppure un problema di soldi: essere conformi al GDPR comporta l’adeguamento delle prassi operative, gli strumenti tecnologici e richiede la capacità di documentare le scelte che si compiono, cioè richiede un intervento sull’organizzazione aziendale che le PMI sono del tutto impreparate a fare, salvo eccezioni virtuose.
Non ne parla nessuno ma questo significa che, a 3 anni dalla entrata in vigore parziale (maggio 2016), a un anno dalla piena vigenza (maggio 2018), mentre finiscono anche gli otto mesi di tolleranza del Garante italiano, il sistema industriale italiano è sostanzialmente non conforme e dunque a rischio.
Due aspetti fondamentali da considerare
Si potrebbe anche dire “chi se ne importa” se non fosse per almeno due aspetti.
Il primo: uno dei punti chiave del GDPR riguarda il rapporto tra titolare e responsabile, cioè fra committente e fornitore che diventano, in molti casi, corresponsabili in solido, e l’impresa italiana, soprattutto la medio-piccola, è un’impresa di sub-fornitura.
Dunque, in primis, non sarà il Garante – lontano e verosimilmente concentrato sulle grandi aziende – a creare problemi: saranno le aziende clienti, italiane ed europee, a scaricare sulle PMI italiane i loro rischi di compliance con clausole contrattuali ineludibile che le PMI potranno solo sottoscrivere, firmando impegni che non potranno rispettare e candidandosi a prendersi tutti i rischi connessi.
Il secondo: non si può dire “chi se ne importa” al digitale. La digitalizzazione delle attività operative e delle relazioni industriali e commerciali è una delle trasformazioni più rilevanti in atto, l’unica capace di incidere profondamente sull’efficienza e dunque sulla competitività delle imprese. La protezione dei dati è uno dei pilastri di questa trasformazione.
Non solo. Il GDPR è concentrato sulla protezione dei dati personali ma, nel farlo, accende un faro sulla protezione del dato in generale, sul diritto delle nuove tecnologie, sulla sicurezza, fino alla governance e alla valorizzazione del patrimonio informativo delle imprese. Per questo dire “chi se ne importa” del GDPR è come dirlo della trasformazione digitale e, dunque, significa dire “chi se ne importa” della competitività, delle imprese e del sistema Paese.
Insostenibile, culturalmente e operativamente.
I codici di condotta
Lenin avrebbe detto: “Che fare?”.
Forme innovative di soft-law affidate a soggetti privati che possono predefinire un insieme di regole operative, approvate dal Garante e, dunque, affidabili, specifiche per settore di attività.
Un fatto nuovo, un nuovo rapporto fra leggi e soggetti tenuti ad applicarle.
Il contenuto dei Codici di Condotta può riguardare tutti i diversi aspetti del GDPR, ovviamente concentrandosi su quelli che sono più rilevanti per la specifica categoria di imprese a cui si rivolge ciascuno specifico Codice: dalle informative all’utilizzo del legittimo interesse come base giuridica per il trattamento, ad esempio, dei dati marketing, dal registro dei trattamenti alle misure di sicurezza, alle procedure aziendali per la privacy by design fino ai temi dell’esportazione di dati fuori dalla UE.
I Codici di Condotta sono, però, anche un’opportunità anche per le associazioni di categoria, per rilanciare il rapporto con i propri associati, trovando una nuova missione 4.0, in un contesto produttivo e di relazioni sempre più disintermediato dalla tecnologia.
Le Associazioni di categoria sono, infatti, il perno su cui il GDPR ha incentrato la strategia di sostenibilità della compliance per le PMI, affidando a loro il potere di iniziativa nella redazione dei Codici di Condotta. Anche questo è un aspetto da non trascurare, guardando al futuro, se si pensa al ruolo positivo che questi corpi intermedi hanno svolto nelle stagioni del grande sviluppo italiano.
In febbraio sono state pubblicate dal board europeo le linee guida applicative relative ai Codici di Condotta che danno certezze e riferimenti anche relativamente al processo per la loro redazione.
La strada è dunque aperta e può essere percorsa.
A Roma il confronto sui Codici di Condotta
Il 28 maggio a Roma, Agendadigitale.eu, con il patrocinio di Clusit e degli Osservatori del Politecnico organizza un confronto sui Codici di Condotta che sarà introdotto da Anna Cataleta, tra i pochi professionisti con un’esperienza concreta in materia, e vedrà la partecipazione del Garante, di Confindustria, del Governo e del Parlamento, oltre a importanti voci del mondo professionale.
L’Italia, che si vanta di essere il Paese delle PMI, deve e può assumere la leadership continentale su questo tema, appropriandosene e sfruttando l’opportunità, concessa dal GDPR, di trasformare in Codici di Condotta a valenza europea quelli elaborati inizialmente per il contesto italiano.
La capacità del sistema paese di trarre pieno vantaggio dalla trasformazione digitale passa anche dalla risposta che Istituzioni, Autorità e imprese sapranno dare su questo tema, minore, forse rispetto ad altri ritardi della nostra economia, ma chiaro indicatore della consapevolezza con cui la sfida digitale verrà raccolta.
–
