Norme sulla privacy, due pesi e due misure?

di Marino Longoni
Dal 25 maggio diventa obbligatorio per le imprese adeguarsi al nuovo regolamento europeo sulla privacy. Chi non lo fa, rischia sanzioni pesantissime, anche di svariati milioni di euro. Il legislatore, invece, pur non essendo arrivato in tempo ad approvare il decreto legislativo attuativo del nuovo regolamento, non rischia nulla. L’articolo 31, comma 3, della legge 234 del 2012 prevede infatti una proroga automatica del termine per l’approvazione dei provvedimenti attuativi (che in questo caso scadeva il 21 maggio) quando il governo ha mandato in ritardo il testo alle commissioni parlamentari per il prescritto parere. C’è quindi tempo fino a metà agosto per l’approvazione del decreto attuativo. Peraltro l’Italia è in buona compagnia, perché solo quattro Stati membri sui 27 Paesi dell’Unione hanno già pubblicato in Gazzetta Ufficiale i rispettivi regolamenti attuativi.
Le imprese, invece, non avranno alcuna proroga: dovranno applicare una riforma piuttosto delicata senza conoscerne i dettagli attuativi. In più risulta che la Guardia di finanza abbia ricevuto indicazioni di non applicare nessuna proroga di fatto: in pratica dal 25 maggio le aziende che ne erano obbligate, e che non hanno provveduto almeno alla nomina del Dpo, cioè il responsabile della protezione dati, saranno sanzionate. Oltretutto il garante sta costruendo un data base con l’elenco delle imprese tenute alla nomina del nuovo responsabile della protezione dei dati. Non sarà quindi difficile scovare chi non ha adempiuto a tale obbligo. Anche perché, a 7 giorni dall’entrata in vigore della General Data Protection Regulation (Gdpr), il 93% di coloro che hanno risposto, pochi giorni fa, a un sondaggio della Sas ha affermato di non essere ancora totalmente conforme al nuovo regolamento. Anche se poi il 53% delle aziende europee intervistate ha affermato che prevede di essere conforme alla normativa entro il 25 maggio. E non è un caso se, proprio sotto questo aspetto, negli ultimi giorni si sta assistendo a qualcosa che ricorda molto il mercato delle vacche: sedicenti Dpo che si offrono ad aziende e pubbliche amministrazioni a prezzi da liquidazione. Nei giorni scorsi si è avuto notizia di incarichi affidati per 2 mila euro l’anno. Facile immaginare con quanto impegno e quanta dedizione queste attività saranno svolte.
Di fatto, quindi, le imprese si troveranno ad applicare una disciplina mancante di alcuni aspetti importanti (a causa dei ritardi accumulati dal legislatore), come per esempio le semplificazioni per le piccole e medie imprese, che dovrebbero essere contenute nel provvedimento attuativo, ma che per il momento sono inesistenti. Mancano anche precisazioni importanti sugli adempimenti che stanno per entrare in vigore. Per esempio, cosa significa che le misure di sicurezza devono essere adeguate? Oppure quali sono i limiti che fanno scattare gli obblighi per chi tratta dati sensibili su larga scala? Lacune macroscopiche delle quali però nessuno si preoccupa. Forse perché, in definitiva, il Regolamento europeo è il risultato di un compromesso tra le multinazionali dell’informatica e i garanti della privacy europei, un accordo nel quale le cosiddette società Ott (over the top) garantiscono una maggior tutela degli utenti ma in cambio ottengono un maggior spazio di manovra. Tanto che, opportunamente celate all’interno del Regolamento, ci sono disposizioni per mettere in sicurezza la vendita di dati online, l’attività che garantisce alle multinazionali di internet i maggiori fatturati. Di fatto alle ott è stata garantita la possibilità di continuare a gestire e sviluppare i big data, l’oro nero del ventunesimo secolo. Alle altre imprese il regolamento garantisce invece adempimenti sempre più fastidiosi e pericolosi. E sanzioni per chi sgarra. (riproduzione riservata)
Fonte: logo_mf