Con l’imminente operatività del Regolamento Generale sulla Protezione dei Dati (GDPR) in ambito europeo, a decorrere dal 25 maggio 2018, si prepara una vera e propria rivoluzione nel trattamento dei dati personali e nella loro tutela.

Ma ogni rivoluzione ha un prezzo, e per le aziende il prezzo è ripensare e reimpostare, o creare per la prima volta, un modello di governance prevedendo percorsi, professionalità e competenze specialistiche al fine di rendersi conformi alla nuova legge e, soprattutto, di rendersi responsabili e consapevoli in tutte le fasi di gestione e trattamento di dati personali, al fine di evitare o limitare le violazioni di dati personali raccolti, circoscrivendone le conseguenze dannose per la sicurezza dei diritti e delle libertà fondamentali delle persone.

Il GDPR tende infatti a realizzare un bilanciamento degli interessi delle imprese, quali titolari o responsabili del trattamento, con i diritti e le libertà degli interessati, mettendo qualunque persona fisica nella condizione di compiere un consapevole esercizio dei poteri di controllo sui propri dati, garantendogli il diritto all’informazione, il diritto all’accesso, alla portabilità, alla rettifica e alla cancellazione dei dati che lo riguardano, nonché il diritto alla limitazione del trattamento e il diritto di opposizione.

Sebbene la normativa europea tenda ad incentivare il vantaggio competitivo delle aziende e la creazione di un mercato digitale europeo uniforme, il cambiamento a cui sono chiamate imprese e pubbliche amministrazioni è reso, d’altro canto, ingiustificatamente più gravoso dalla mancata emissione ad oggi del decreto di coordinamento del GDPR alla normativa nazionale in materia di Privacy.

Il ritardo con cui si sono mosse le istituzioni comporta quindi un maggior sforzo per le imprese dovendo, da un lato, adeguarsi alla normativa europea in tempi rapidi e, dall’altro, compensando l’assenza di una disposizione legislativa di riferimento con una matassa di regole e disposizioni a macchia di leopardo con cui si tenta una regolamentazione uniforme dei particolari aspetti della privacy, come ad esempio i provvedimenti adottati dal Garante per la Protezione dei dati personali (ritenuti compatibili con il GDPR), le indicazioni fornite dal gruppo di lavoro europeo WP29, le linee guida fornite dal Garante Europeo, le direttive europee in materia di E-Privacy, ecc.

Ciò nonostante ogni impresa si trova nella situazione di dover decidere autonomamente i percorsi per rendere la propria organizzazione responsabile o “accountability” al GDPR, scegliendo se osservare o meno un certo adempimento, ovvero come e quando chiedere agli interessati il consenso per il trattamento dei dati, nominare il DPO o “Responsabile della Protezione dei Dati”, quando e se provvedere a una valutazione d’impatto o “DPIA” a tutela dei diritti e delle libertà fondamentali degli interessati, ecc.

Il principio cardine su cui l’azienda dovrà intraprendere il cammino di adeguatezza alle nuove normative europee si fonda infatti sulla cd. “Responsabilizzazione” (“Accountability”), dove l’imprenditore quale Titolare del trattamento (o Responsabile del Trattamento) è chiamato a decidere in prima persona le misure tecniche ed organizzative necessarie per assicurare, e provare, una raccolta e un utilizzo dei dati conforme al Regolamento che riduca il rischi per i diritti e le liberta degli interessati.

Per quanto non si possa negare che i numerosi obblighi previsti dal GDPR, e soprattutto gli importanti aspetti sanzionatori, abbiano un impatto rilevante, si tratta comunque di adempimenti che il Regolamento modula in ragione delle caratteristiche del trattamento dei dati e dell’organizzazione aziendale, e che vengono attenuti e facilitati dalla previsione di nuove figure introdotte per fungere da elemento di supporto interno e di raccordo tra le necessità aziendali e le finalità di tutela stabilite dal GDPR (come il Responsabile della Protezione dei dati: DPO).

Sotto un’altra prospettiva, però, il Regolamento Europeo reca il vantaggio di porre “la gestione del dato personale” al centro dei fattori di produzione, evidenziandone la fondamentale importanza all’interno dell’attività d’impresa e della sua capacità di creare ricchezza, costruendo beni e servizi disegnati sulla base dei bisogni del cliente o dell’utente grazie ai dati personali raccolti.

I diritti e le libertà degli individui, ovvero la loro sicurezza, diventano pertanto un valore aziendale da difendere, anche nei confronti dell’applicazione di nuove tecnologie che pongono le imprese davanti a minacce informatiche sempre più sofisticate per la sicurezza dei dati personali, quali elementi fondamentali del patrimonio aziendale.

Il GDPR può rappresentare quindi un’occasione per le imprese che vogliono avvicinarsi al nuovo concetto di Impresa 4.0 e che intendono distinguersi sul mercato perfezionando la governance e il proprio modo di lavorare, nonché ottimizzando il rapporto con i propri fornitori, clienti e stakeholder, ovvero migliorando la propria immagine e reputazione, venendosi così a creare anche un interessante parallelismo con il concetto di impresa responsabile (o CSR).

Essere conformi al GDRP, ovvero responsabili nel trattare, custodire e proteggere i dati, significa anche elevare il valore aziendale nell’ambito di tutte quelle operazioni straordinarie che possono intervenire nelle varie fasi di esistenza di un’impresa (quali cessioni, conferimenti d’azienda, trasformazioni, ecc.) e che spesso rappresentano per l’imprenditore il riconoscimento economico di una vita di lavoro e impegno.

Affrontare il GDPR in questa prospettiva può rappresentare un vantaggio da non trascurare.

*Articolo già pubblicato sulla rivista on line “Quaderni Forensi Veliterni