Il nuovo regolamento Ue sulla protezione dei dati (Gdpr) entra in vigore venerdì prossimo, 25 maggio. E non ci sono possibilità di proroghe. Lo dice Giovanni Buttarelli, il Garante europeo della protezione dei dati, in una intervista esclusiva a ItaliaOggi: “Non sono possibili slittamenti o proroghe, né su iniziativa dei garanti dei singoli paesi, né del legislatore nazionale. Dal mattino del 26 maggio ci saranno linee di giusta severità con quelli che magari non erano in regola neppure con i vecchi ordinamenti. Ci sarà invece ragionevolezza con chi dimostra di avere iniziato un percorso. Ma il nuovo regolamento, di sicuro, non deve essere vissuto come una rottura di scatole. Anzi. Per molti, soprattutto per le piccole imprese, i piccoli commercianti o artigiani, ci sarà una semplificazione del trattamento dei dati”.

Domanda. Tastando il polso delle imprese e delle istituzioni italiane, tuttavia, sembra che in pochi siano pronti al nuovo regolamento Gdpr

Risposta. Forse è stata fatta poca comunicazione nel periodo 2016-2017, e l’attenzione della opinione pubblica è stata più concentrata sui problemi dell’economia e della politica. Si è pensato che il regolamento Gdpr fosse più una cosa per esperti, non che avrebbe avuto impatti sulla vita di tutti.

Domanda. Poi lo scandalo Cambridge analytica ha messo la questione al centro del dibattito

Risposta. Certo, si è capito che la Gdpr ha un impatto globale. Ed è partito l’effetto panico, con un ritardo che riguarda non solo le aziende, gli enti, le istituzioni italiane, ma pure il legislatore italiano, che ha accumulato ritardi nella legge delega. Solo quattro stati membri su 28 hanno già pubblicato in Gazzetta Ufficiale il testo che assorbe il regolamento, e altri 8-9 ce la faranno entro il 25 maggio. Data entro la quale gli stati membri dovranno comunicare alla Commissione come hanno recepito il regolamento. Il regolamento, comunque, non è una direttiva, entra in vigore lo stesso poiché prevale sulle norme interne. Il legislatore nazionale ha però spazio di manovra per ritoccare alcuni requisiti. E sarebbe stato un bene che l’attuale bozza, come accaduto nel 1996 e nel 2003, fosse stata oggetto di un maggiore dibattito politico, visto che, come detto, le norme hanno un forte impatto su tante categorie. Invece tutto ciò non è accaduto. Comunque si possono ancora sfruttare i giorni che mancano al 25 maggio e poi trasmettere uno schema alla Commissione. Vediamo, peraltro, se questo schema sarà approntato dall’attuale governo o da un nuovo governo.

Domanda. Il regolamento entra in vigore il 25 maggio, ma sarà necessario un periodo di prova, giusto?

Risposta. Ripeto, la data del 25 maggio non può essere prorogata. Ma sarà necessario un secondo tempo, per fare una sorta di tagliando a tutta la disciplina della protezione dei dati, che riguarda moltissimi aspetti, dalla sanità elettronica all’e-government, il giornalismo, le cartelle elettroniche, il cyber bullismo.

Domanda. Le piccole e medie imprese sono un po’ spaventate. 

Risposta. Beh, dal 25 maggio comunque cambiano i riferimenti normativi. Tuttavia per le piccole e medie imprese, i piccoli artigiani e commercianti, non ci sono rivoluzioni straordinarie. Anzi, i requisiti per trattare i dati sono semplificati. In sostanza cambia la cultura dietro la norma, non bisogna solo fare adempimenti, sarà necessario delegare di meno a esterni o consulenti, e conoscere invece meglio le proprie imprese, per capire i rischi e avere una precisa policy sulla protezione dei dati. Nel caso di una ispezione, gli ispettori non chiederanno più: Dove tieni i tuoi dati? Che ci fai? Ma saranno invece interessati a capire se le imprese hanno fatto una riflessione sull’uso dei dati, hanno una policy, sanno che rischi possono correre, fanno una adeguata reportistica, investono in questa attività, fanno formazione, si aggiornano. Non è solo una cosa per cui io impresa mi rivolgo a un consulente esterno che mi fa una pratica tipo la certificazione energetica di un appartamento, e finito lì. No, è una cosa work in progress dove l’imprenditore deve essere sempre coinvolto. A tutti i soggetti, tranne le piccole realtà, verrà imposto di dedicare una risorsa interna, da nominare responsabile dell’amministrazione di tutte le informazioni della impresa. La protezione dei dati va fatta bene, e i titolari dei dati e del trattamento dei dati, ovvero tutti i cittadini, si devono comportare da persone adulte.

Domanda. Già due anni fa la Auditel presieduta da Andrea Imperiali, in vista della la pubblicazione dei dati censuari sui device digitali (che comporta, per la prima volta, il trattamento di Big Data, ndr), ha voluto ridisegnare tutti i suoi processi nel rispetto del nuovo regolamento europeo. Ma non mi risulta ci siano state molte altre aziende o istituzioni in Italia che si siano mosse così in anticipo, giusto?

Risposta. Sì, è vero, in Italia ci sono state poche aziende, istituzioni, enti che si sono mosse in anticipo come Auditel. Non posso chiaramente garantire su cosa esattamente farà Auditel. Ma loro fin dall’inizio si sono posti in un’ottica nazionale ed europea cercando il meglio. 

Domanda. La protezione dei dati si può anche certificare, vero?

Risposta. Corretto. C’è anche la possibilità di certificare il trattamento e la protezione dei dati in base alle nuove regole. Da settimana prossima, infatti, le società o le istituzioni possono accrescere la fiducia degli utenti e dei consumatori attraverso una volontaria certificazione. Che darà ulteriori semplificazioni e ritorni di immagine, con la costruzione di un modello che si potrà anche esportare. Nel senso che si può certificare pure una impresa statunitense che però offre servizi in Italia. Infatti il regolamento si applica a tutti quelli che offrono beni e servizi in Europa. Se il mio smartphone riceve beni e servizi, non mi interessa dove è la sede dell’operatore, ma dove vengono offerti i servizi.

Dmanda.E i grandi ott, le aziende americane che maneggiano i big data, come si sono rapportate col nuovo Gdpr?

Risposta. Le grandi aziende alla Microsoft, differentemente da quanto avevano fatto nel 1996 o nel 2003, già dal 2017 hanno iniziato a comunicare che sarebbero state pronte al nuovo regolamento. Insomma, a differenza del passato, non c’è stato un meccanismo di contestazione. Ora, però, non dico che siano già in regola. E comunque non stanno facendo nessuna concessione, sono obbligate a farlo. Peraltro le nuove policy di Twitter, WhatsApp, Google eccetera sono comunque soggette a uno scrutinio da parte del Garante Ue, perché ci sembra che ultimamente stiano facendo agli utenti delle proposte tipo «prendere o lasciare» ed è possibile che i garanti abbiano delle cose da dire sul tema.

Dmanda. Perché c’era bisogno del Gdpr?

Risposta. Perché bisogna reintrodurre fiducia nelle persone. Fiducia che la penetrazione granulare sugli aspetti più intimi della loro vita sia sempre in buone mani. I criteri in base ai quali, per esempio, gli algoritmi determinano il prezzo delle cose e dei servizi per ciascuno devono essere trasparenti. Nel nuovo modo di pensare, quindi, i miei dati non sono nella disponibilità di nessuno per sempre. Io ti invito a casa mia, ti faccio entrare. Poi, però, quando ti riaccompagno all’uscio, tu non puoi più rientrare, i miei dati spariscono dalla tua disponibilità.

Dmanda. E dopo il regolamento sulla protezione dei dati, sta per arrivare anche il nuovo regolamento Ue sulla privacy. 

Risposta. Giusto. Il nuovo regolamento Ue sulla privacy dovrebbe essere pubblicato a inizio 2019 per entrare in vigore nel 2020.

Fonte: Italia Oggi del 19 maggi 2018