È ormai vicinissimo il 25 maggio 2018, data in cui il Regolamento UE 2016/679 (conosciuto anche come GDPR) diventerà efficace in tutta Europa. Il GDPR risponde ad esigenze imprescindibili e urgenti portate dal progresso tecnologico che è parte integrante della moderna società.*
In Europa la cultura della privacy sta attraversando un cambiamento epocale del quale ci renderemo effettivamente conto negli anni a venire. Ognuno di noi è coinvolto in questo cambiamento e le aziende devono essere in regola con la privacy dotandosi di una adeguata struttura, organizzata per tutelare e difendere sia i dati propri che quelli dei propri clienti, oltre che per evitare possibili sanzioni.
Professionisti e consulenti hanno il delicato compito di accompagnare le aziende nel processo di ‘privacy compliance’ tenendo presente il core business, nel rispetto del principio di proporzionalità. La compliance dovrebbe così essere integrata nella Mission aziendale affinché gli insegnamenti contenuti nel GDPR vengano effettivamente recepiti. Ove l’azienda affermi di essere interessata soltanto ad evitare la sanzione, senza curarsi di assimilare i principi del GDPR, saremmo in presenza di una cattiva abitudine che però può essere eliminata sostituendola con una buona.
Il concetto ormai noto di compliance è legato all’onestà e all’etica anche in relazione a principi deontologici o codici di comportamento e viene spesso associato all’onestà intellettuale. Al di là dell’obbligo normativo, quindi, perché è fondamentale essere privacy compliance? La risposta è duplice. Dal punto di vista teorico essere compliance significa dimostrare di aver compreso l’importanza del cambiamento (consapevolezza) adeguandosi al principio dell’accountability; dal punto di vista pratico la compliance serve a migliorare l’efficienza e il rendimento, tutelare e valorizzare i dati aziendali, migliorare la reputazione aziendale e conseguentemente incrementare il patrimonio aziendale. In altri termini un profitto.
Le aziende non devono temere tanto la sanzione quanto piuttosto il danno reputazionale derivante dal mancato rispetto delle norme in materia di privacy, con tutto ciò che ne consegue a livello economico e di immagine.**
Per usare le parole del GDPR, in virtù dell’accountability ognuno è investito da una grande responsabilità ogni volta che tratta dati personali. Tale responsabilità è tanto più grande quanto più il trattamento incide sulla libertà e sui diritti della persona.
Marco Domenico Luongo
* Il GDPR, nato dopo una lunga e articolata gestazione, arriva oltre vent’anni dopo la prima Direttiva Europea 95/46/CE in materia di protezione dei dati, dal recepimento della quale in Italia prese forma l’ormai vecchio codice privacy (D.lgs. 196/03), figlio di un’epoca in cui la tecnologia disponibile non era neanche lontanamente paragonabile a quella di oggi.
** Il recente caso di Facebook – Cambridge Analytica ha dimostrato al mondo intero che gli effetti di un ‘data breach’ (violazione di dati personali) vanno ben al di là di una sanzione. Sarebbe interessante chiedere a Mark Zuckerberg, CEO di Facebook, una stima del danno reputazionale derivante, ad esempio, dalla eventuale riduzione delle inserzioni pubblicitarie a pagamento da parte dei clienti vittime del data breach.