Quanti oneri sulle pmi col regolamento privacy

di Marino Longoni
Aumentano gli adempimenti in tema di privacy. E anche i rischi. Tra un anno entrerà in vigore il Regolamento Ue 679/2016. E mentre con l’attuale codice della privacy imprese e professionisti si sono abituati a regole certe, con obblighi descritti in modo esatto, hanno insomma ben chiaro quali sono gli adempimenti minimi per evitare sanzioni, con il nuovo regolamento Ue lo scenario cambierà radicalmente. Molti adempimenti non sono definiti dalla legge ma sono espressi come principi generali: si impone per esempio di trattare adeguatamente i dati delle persone, controllare se il sistema informatico è sicuro, verificare se si sta attuando un interesse legittimo senza violare i diritti delle persone (condizioni necessarie per non chiedere il consenso).

Ma non si precisa come raggiungere tali obiettivi. Il regolamento Ue lascia margini maggiori, ma responsabilizza di più: è onere dell’imprenditore, del professionista o della Pa dimostrare di non ledere i diritti altrui. Per esempio, in materia di richiesta del consenso: ora la regola è che va chiesto, salvo le eccezioni previste dalla legge. Con il nuovo regolamento il consenso andrà richiesto, salvo che non ci sia un legittimo interesse al trattamento, ma non sono previsti i casi espliciti di esclusione. Così anche per le misure di sicurezza informatica: ora c’è l’elenco di quelle minime (password di almeno otto caratteri, da cambiare almeno ogni tre mesi, per i dati sensibili), nel regolamento si chiede di adottare le misure tecniche e organizzative necessarie a evitare attacchi informatici, senza specificare quali.

Sarà quindi necessario redigere un dossier in cui specificare cosa si è fatto e perché. In linea di massima saranno necessari adempimenti aggiuntivi. In Italia qualche anno fa era stato persino abrogato il documento programmatico sulla sicurezza (considerato inutile), basta compilare un prestampato predisposto dal Garante privacy. Dal 2018 invece tutti dovranno fare l’analisi dei rischi. È stato introdotto anche il registro dei trattamenti. Spesso sarà necessaria la valutazione dell’impatto privacy. E secondo alcuni, dovranno essere rifatte le informative e i consensi dovranno essere richiesti ex novo. Attenzione, i rischi di sanzioni sono molto più alti rispetto all’attuale codice.

È previsto solo il limite massimo, ed è altissimo (fino a 10 milioni, fino a 20 milioni ecc.). Non a caso c’è fermento tra i professionisti dell’informatica per conquistare fatte di mercato come responsabili della protezione dati), figura obbligatoria per tutte le pubbliche amministrazioni e le imprese che trattano dati su larga scala (non si capisce bene per chi, perché i parametri sono vaghi). Anche i corsi per prendere il patentino di consulente privacy sono strapieni. Evidente che tanti hanno fiutato il business. Il problema è arrivare al 25 maggio 2018 essendo il più possibile al sicuro, in presenza di adempimenti sostanziali, non formali, che non consentono però l’immunità dal rischio legale. In molti dovranno perciò rivolgersi a consulenti esterni, cioè metter mano alla tasca. Prospettiva non facile con metà delle imprese con grossi problemi di redditività.

I controlli, come già oggi, saranno eseguiti nella grande maggioranza dei casi dalla Guardia di finanza (sulla base di un piano annuale o di segnalazioni). È stato da tempo istituito un nucleo speciale. Ma è lecito dubitare che queste misure (e i costi, per chi le deve attuare) serviranno a fermare il business dei dati personali, che muove miliardi di dollari. Le nuove regole sono frutto del compromesso tra le multinazionali del web e la Commissione Ue, che non ha tolto loro tutti i margini di manovra: per esempio sarà possibile profilare il cliente, che però potrà chiedere di essere cancellato.

In sostanza il trattamento legale dei dati personali resta consentito anche a fini commerciali, in cambio però di maggior attenzione, trasparenza, sicurezza. Non a caso le multinazionali già si preoccupano di nominare il dpo, fare le informative in modo corretto, acquisire le autorizzazioni, garantire la rapida portabilità dei dati. Il problema maggiore però riguarda pmi e studi professionali, per i quali si apre una fase di incertezza e nuovi adempimenti che si sarebbero risparmiati volentieri. (riproduzione riservata)
Fonte: logo_mf