Tutte le imprese e le pubbliche amministrazioni hanno tempo fino al maggio 2018 per adeguarsi al Regolamento europeo sulla privacy o data protection (Rgrp 679/2016). Il mondo dei big data e dei data analytic colloca le strutture private e pubbliche nel nuovo scenario della rivoluzione industriale 4.0 dove l’Internet delle cose (Iot) e gli algoritmi dell’intelligenza artificiale sprigionano e elaborano al tempo stesso masse di informazioni. In un contesto siffatto i rischi di abuso sui diritti dei cittadini sono esponenziali. Da qui la necessità di tutela approntata dal Regolamento privacy Ue.
Le imprese e le pubbliche amministrazioni che utilizzano i big data sanno benissimo che a fronte dei vantaggi di tali risorse devono anche sopportare il costo delle compliance per ridurne i rischi. Le piccole e medie imprese però – non ancora in grado di fruire dei benefici da big data – sono destinate a sopportarne solo i costi. Saranno ancora le piccole e medie imprese ad arrancare per adeguarsi entro il maggio del 2018 perché del tutto impreparate a confrontarsi con questa nuova realtà.
Allora chiediamoci: l’adeguamento entro il maggio 2018 è una missione possibile?
Dipende dall’attenzione che l’impresa o la pubblica amministrazione ha dedicato fino ad oggi alla privacy. Ovviamente le grandi strutture capaci di maneggiare i big data saranno quasi pronte. Le imprese che in passato avevano fatto il Dps (Documento programmatico sulla sicurezza privacy) e hanno conservato le “buone abitudini” impresse da tale documento, molto probabilmente saranno in grado di mettersi in regola entro il termine stabilito. Le imprese che hanno fatto poco o nulla francamente contano poche chances di centrare l’obiettivo nei tempi canonici.
Le realtà che sto assistendo in questo arduo compito hanno iniziato a rendersi conto di quanto sia difficile rispettare il termine del maggio 2018 perché il Regolamento Ue implica una “rilettura” di tutta l’azienda o di tutti i comparti della pubblica amministrazione: a partire dalla tipologia di dati trattati (personali, sensibili, sanitari), ai tipi di trattamenti (raccolta, archiviazione, memorizzazione, conservazione, profilazione), ai ruoli professionali dei dipendenti addetti a ciascun settore (responsabili).
Ancora più difficile il censimento delle realtà con cui si lavora in outsourcing che devono essere inquadrate come “responsabili esterni privacy” e con le quali occorre stilare un accordo per determinare privacy policy comuni adeguate al dettato normativo europeo. D’ora in poi il titolare del trattamento dovrà controllare che anche i suoi fornitori abbiano una privacy policy a norma di legge europea perché in caso di violazioni la responsabilità è solidale tra le due o più strutture entrate in contatto.
Adeguarsi non è l’unico scoglio. A questo si aggiunge la difficoltà di riuscire a dimostrare di avere adottato tutte le misure di sicurezza privacy adeguate in rapporto alle proprie criticità e alle proprie risorse economiche. Si tratta del cosiddetto istituto della “accountability”.
Le realtà in cui è in corso di avviamento un nuovo processo organizzativo o una ristrutturazione sono le più “fortunate”, perché hanno la possibilità di adottare ex novo sistemi informatici improntati ai protocolli della privacy by design e della privacy by default. Si tratta delle architetture digitali che oltre a svolgere le funzioni necessarie per l’impresa o la pubblica amministrazione integrano in automatico le misure di sicurezza privacy, come ad esempio l’utilizzo dei soli dati indispensabili per svolgere l’attività. Le strutture che hanno già un sistema consolidato avranno maggiori problemi perché dovranno renderlo privacy by design.
La complessità della normativa Ue costringe le strutture a rivolgersi a degli esperti di data protection (avvocati o consulenti del settore) e sulla scorta delle indicazioni ottenute dare incarico agli informatici di adeguare il proprio sistema informatico e informativo. Inoltre il titolare del trattamento dovrà disporre – sempre su suggerimento del legale o del consulente – le lettere di incarico per i responsabili interni e per i responsabili esterni sulla scorta dell’organigramma privacy redatto ad hoc.
Le imprese con più di 250 dipendenti sono obbligate a redigere il registro dei trattamenti.
Le imprese che trattano dati sanitari, le banche, le assicurazioni e le pubbliche amministrazioni sono obbligate a nominare il Data privacy officer (Dpo) ovvero un soggetto – indipendente e non in conflitto di interesse con il titolare del trattamento – in grado di guidare la struttura nell’adeguamento alla disciplina Ue.
Le sanzioni in caso di responsabilità sono altissime: si parte dal 2% del fatturato annuo o da 10mila euro fino a giungere al 4% del fatturato annuo o a 20mila euro.
*Deborah Bianchi è avvocato specializzato in diritto internet e privacy https://www.deborahbianchi.it
24 febbraio 2017
© RIPRODUZIONE RISERVATA
