Il diritto alla protezione delle persone fisiche con riguardo al trattamento dei dati personali è un diritto fondamentale ed imprescindibile nella società moderna. Tuttavia viene vissuto in ambito imprenditoriale come una noiosa burocrazia che rallenta o addirittura impedisce il raggiungimento degli obiettivi.
Proviamo a capire perché, soprattutto per le PMI italiane, adeguarsi al Gdpr è considerato più un aggravio economico che un’opportunità.
Gdpr, obbligo o opportunità?
Secondo la definizione data dalla Raccomandazione della Commissione europea del 6 maggio 2003 la categoria delle microimprese, delle piccole imprese e delle medie imprese (PMI) è costituita da imprese che occupano meno di 250 persone, il cui fatturato annuo non supera i 50 milioni di euro oppure il cui totale di bilancio annuo non supera i 43 milioni di euro.
Un dato che fa riflettere se pensiamo alla capacità di investimento economico che porta l’azienda a fare sempre di più scelte “fai da te” in merito all’adeguamento GDPR.
Ciò è dovuto soprattutto ad una mancanza di conoscenza del Regolamento europeo e della normativa italiana e della consapevolezza del valore aggiunto che la stessa può portare.
Durante gli incontri che tengo presso le aziende PMI viene riportata una difficoltà enorme ad adeguarsi perché il Regolamento europeo viene visto più come un impegno economico e non un’opportunità.
E’ passato un po’ di tempo dall’adozione da parte del Garante per la Protezione dei Dati Personali, nel 2007, di una “Guida pratica e misure di semplificazione per le piccole e medie imprese”, per facilitare le Piccole e Medie Imprese nell’assolvimento degli obblighi che la normativa sulla privacy impone a chi raccoglie, utilizza, conserva dati personali.
Con l’entrata in vigore del Regolamento europeo, la privacy ha assunto un ruolo sempre più importante destando l’attenzione delle grandi aziende e delle multinazionali già da tempo affiancate da società di consulenza, mentre le PMI restavano in disparte senza aver adempiuto nemmeno all’obbligo di nomina del Responsabile della Protezione dei Dati nella convinzione che non riguardasse la loro realtà imprenditoriale.
In realtà il Regolamento europeo 2016/679, negli articoli relativi alle sanzioni, non fa alcuna distinzione tra aziende di grandi dimensioni o aziende a conduzione familiare prevedendo multe salatissime.
I costi di adeguamento al Gdpr
Le PMI si trovano nella condizione di dover sostenere un aggravio di burocrazia e costi perché non sono abituate al nuovo modus operandi previsto dal nuovo Regolamento europeo che viene percepito come qualcosa di estraneo al proprio contesto imprenditoriale.
Una recente stima di Confartigianato del 31/5/2018 ha previsto un costo di 3,1 miliardi di euro che le Piccole e Medie Imprese italiane dovrebbero sostenere per adeguare al Regolamento europeo i propri sistemi di conservazione e protezione dei dati personali.
Le aziende con realtà dimensionali ridotte si imbattono spesso in preventivi di consulenza che non hanno costi uniformi e che promettono soluzioni di conformità e sicurezza con poche centinaia di euro.
I costi che un’azienda dovrebbe sostenere per adottare un adeguato modello organizzativo privacy sono di diversificati e variano dalla consulenza iniziale alla redazione di policy e documenti ma anche all’implementazione tecnologica dei sistemi informatici.
Gli articoli 24 e 32 del GDPR costituiscono, per altro, una mappa importante per orientare le PMI nella scelta del Professionista che possa offrire la consulenza più adeguata per la loro organizzazione.
L’art. 24 dispone che il trattamento è effettuato conformemente al presente regolamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento svolto in azienda.
L’articolo 32 dispone un’elencazione esemplificativa delle misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
Queste misure comprendono, tra l’altro:
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
L’importanza di farsi guidare alla compliance
E’ difficile immaginare che soluzioni apparentemente molto economiche possano fornire un valido supporto al cliente e garantire la creazione di un modello organizzativo che contenga tutte le prescrizioni degli artt. 24 e 32 del GDPR.
Occorre affidarsi a professionisti preparati che dedichino del tempo alla conoscenza del contesto e dei processi aziendali del loro cliente, attraverso più di una intervista che gli consenta di raccogliere il materiale necessario ad effettuare un’analisi dei rischi personalizzata.
Il consulente dovrà intervistare tutte le funzioni e i professionisti coinvolti nel trattamento, effettuare un “data mapping” e una “due diligence” esattamente come viene fatto nelle imprese di grandi dimensioni; dovrà redigere un modello organizzativo privacy ed effettuare il “legitimate interest assessment” quando la l’azienda ritenga di avvalersi del legittimo interesse come condizione di liceità del trattamento svolto.
Dovrà affiancarsi ad una società informatica che effettui un’implementazione del sistema informatico aziendale conforme con il GDPR. Dovrà effettuare la formazione del personale autorizzato al trattamento.
Questo permetterebbe all’azienda non solo di essere compliant ma di incrementare la propria consapevolezza e valorizzare la propria reputazione.
Non occorre solo vantare astrattamente il rispetto di regole organizzative adeguate ma avere una profonda consapevolezza di tutti i costi che l’adeguamento può portare.
Il Garante Per la Protezione dei Dati Personali italiano ha avviato un progetto “SME DATA” volto a supportare proprio le PMI nel cammino verso l’adeguamento normativo, attraverso incontri formativi, strumenti di autovalutazione e APP gratuita.
In tal modo le PMI potranno familiarizzare con i principali istituti giuridici della normativa e approfondire la conoscenza dei diritti e degli obblighi del Regolamento europeo.
Un modo per rendere la materia sempre più vicina alla realtà aziendale.
Le aziende devono essere molto attente e consapevoli dei rischi concreti che comporta il trattamento dei dati personali e solo attraverso un’applicazione attenta dei criteri impartiti dagli articoli 24 e 32 del GDPR potranno sostenere ragionevolmente dei costi utili per l’implementazione delle misure di sicurezza efficaci e per l’affidamento di incarichi di consulenza adeguati alle loro realtà dimensionali.
