Si scrive Gdpr, si legge General Data Protection Regulation. Un regolamento comunitario introdotto lo scorso anno che ha rivoluzionato, nel bene e nel male, la tutela dei dati personali. Un regolamento che ha messo alle strette pubblica amministrazione e aziende private al punto che ad oggi sono state comminate in tutta Europa multe per oltre 56 milioni di euro. La classifica dei Paesi con più infrazioni è guidata dalla Francia, seguita da Portogallo e Polonia. L’Italia, in questa particolare graduatoria si è piazzata al quinto posto. Da noi l’ammontare delle sanzioni (dato relativo al 2018) è stato pari a 8,1 mln di euro, suddiviso in 707 violazioni amministrative contestate dal Garante per la Privacy, per lo più concernenti il trattamento illecito di dati, la mancata adozione di misure di sicurezza, il telemarketing, le violazioni di banche dati, l’omessa o inadeguata informativa agli utenti sul trattamento dei loro dati personali. Già perché siti web, campagne di pubblicità online, perfino i pixel diFacebook incrociano le informazioni degli utenti e queste devono rispettare i principi introdotti dal Regolamento europeo 679/2016.
Un’utile mappa per capire come le aziende possono districarsi nel rispetto della normativa sulla privacy arriva da un volume appena dato alle stampe Il GDPR per il marketing e il business online (Hoepli editore, 164 pagine), scritto da Federica De Stefani, avvocato, esperta di diritto delle nuove tecnologie, diritto civile, contrattualistica nazionale e internazionale e privacy. Docente all’Università degli Studi di Roma Unitelma Sapienza e all’Unicollege Scuola Superiore per Mediatori linguistici traccia un bilancio del Gdpr in quest’intervista con Fortune Italia. “Il Gdpr – spiega De Stefani – è senza ombra di dubbio una normativa rivoluzionaria, che impone un cambio di prospettiva rispetto al passato e che, proprio per questo motivo, complica notevolmente le cose. Si tratta solo di avere pazienza e prendere confidenza con un sistema completamente diverso che, come è prevedibile, porta con sé difficoltà oggettive insite in tutti i cambiamenti”.
Che bilancio si può trarre ad un anno di entrata in vigore del Gdpr?
Le dirò una cosa molto impopolare: nonostante i dati, quello che manca è la percezione dell’importanza che ha questa nuova normativa perché ancora oggi purtroppo, a parte alcune realtà, non si è compreso fino in fondo né il significato né l’importanza di questa rivoluzione epocale per la protezione dei dati personali.
Cosa significa?
Che c’è stata una forte attenzione per il Gdpr a ridosso della fatidica data del 25 maggio del 2018 per poi ritornare ad una sorta di quiete apparenza. Si crede che sia una normativa che riguardi solo le grandi realtà e non è così perché riguarda tutti perché tocca direttamente i nostri dati personali. Grande o piccolo che sia il soggetto è tenuto al rispetto della normativa.
Come mai? Le aziende non sono pronte a questa rivoluzione?
È successo che ancora non si ha la percezione delle sanzioni e dei provvedimenti che sono a carico delle imprese, ma a questo regolamento, per quanto ‘strano’ non si sfugge.
In che senso strano?
Un Regolamento per definizione deve essere direttamente applicabile in tutti gli stati membri. Ci sono state delle aree, per esempio quelle sanzioni penali, che sono state demandate ai singoli stati. In questo modo si è avuta la normativa generale ma non le sanzioni e questo ha fatto sì che fosse un regolamento da mettere nel dimenticatoio.
Ma cosa è cambiato rispetto alla normativa precedente?
Cambia tutto, a partire dall’approccio. Prima avevamo delle indicazioni specifiche, le norme dicevano che cosa si dovesse fare. Adesso ci sono dei principi generali che devono essere applicati e quindi ogni singola persona in base alla realtà di riferimento deve trovare le modalità con le quali adeguarsi a questo regolamento. Insomma si declina il principio generale, il cosa si deve fare, ma non si specifica come attuarlo.
E tutto questo non può essere una zavorra in più per le imprese?
In realtà è una grande opportunità perché si danno delle indicazioni standard che possono essere applicate da tutti e allo stesso modo. Il far west non conviene a nessuno a partire dalle aziende, sia grandi che piccole.
Perché il Gdpr viene definito una normativa “datocentrica”?
Dai dati e dalla loro protezione deriva tutto il sistema di adeguamento al Gdpr. Non si parte da una norma che indica cosa fare o quali sistemi di protezione bisogna adottare, si parte, al contrario, da principi generali che tendono alla protezione dei dati personali e le modalità con le quali attuare questa tutela sono demandate al singolo soggetto che tratta i dati. In questo modo il legislatore ha puntato sulla responsabilizzazione del titolare del trattamento, indicato come soggetto più idoneo a stabilire quali misure in concreto debbano essere adottate.
Lei parla spesso di “bipolari digitali”, a cosa si riferisce?
Nel senso che si sta molto attenti alla protezione e alla tutela dei propri dati personali ma non vi è lo stesso principio per i contenuti e i dati delle altre persone possono tranquillamente diventare pubblici. Questo è sbagliato, le norme riguardano tutti, sia il soggetto in prima persona che gli altri: ad un diritto corrisponde un uguale dovere.
E i social network rispettano il nuovo regolamento?
Si stanno adeguando, con tutte le criticità relative al fatto che sono dei grandi colossi e trattano ingenti quantità di dati. Lo stesso vale per i singoli utenti che utilizzano questi strumenti nella Rete che sono chiamati ad adeguarsi a dei regolamenti, non solo giuridici ma anche di funzionamento, che vengono decisi da altri. Noi non siamo liberi nei social network di utilizzare lo spazio che ci viene messo a disposizione perché ci sono dei vincoli che possono impattare anche sul trattamento dei dati personali.
