Oggi è il giorno del Gdpr, la rivoluzione privacy che viene dall’Europa. Il momento fortemente temuto da molte aziende, per i costi che comporterà. Addirittura 2 miliardi di euro per tutte quelle italiane, secondo una stima di Confesercenti, pubblicata ieri. Al tempo stesso, questo giorno dovrebbe essere visto con interesse da tutti i cittadini. Per i nuovi diritti privacy e protezione dati personali che porta loro. Un indizio di quanto sta succedendo ci appare in queste ore nelle nostre caselle mail, dove tante aziende chiedono il nostro consenso per continuare a contattarci e a usare i nostri dati.
Diventa infatti applicabile dal 25 maggio il Regolamento Ue 2016/679, noto come Gdpr (General Data Protection Regulation). Le aziende avevano tempo fino ad oggi per adeguarsi ai nuovi e stringenti obblighi, con cui devono tutelare i dati personali dei cittadini. E nei prossimi giorni partiranno, a tutti gli effetti, anche le attività di ispezione da parte del Garante Privacy, che può affibbiare sanzioni molto salate alle aziende inadempienti: fino a 20 milioni di euro o addirittura il 4 per cento del loro fatturato globale. Il che può portare a cifre stellari per le multinazionali che gestiscono dati di cittadini europei (come Google e Facebook), in caso di abusi o violazioni privacy. Il Garante ha specificato che la macchina dei controlli e delle sanzioni partirà in modo graduale (non aspettiamoci insomma subito super multe a tappeto); ma partirà senza dubbio e senza proroghe.
C’è infatti da chiarire un aspetto normativo. L’Italia non è riuscita – come altri Paesi europei del resto – a fare in tempo per il 25 maggio il decreto con cui armonizzare il regolamento europeo all’ordinamento italiano. Al momento il testo è in attesa di uscire in via definitiva dal Consiglio dei ministri (esercitando la delega del Parlamento). Per via di una proroga che si esercita in automatico in questi casi, il Governo – il nuovo, a questo punto – ha tempo fino ad agosto per l’adeguamento. Fino ad allora potrebbero sorgere alcuni dubbi interpretativi sull’applicazione del GDPR, che però – essendo un regolamento europeo – entra in vigore immediatamente lo stesso. Con tutte le sue misure.
Insomma, le aziende non possono scantonare. Non possono evitare l’obbligo, in tutti i suoi effetti. Che comporta “costi di alcune decine migliaia di euro fino a centinaia di migliaia di euro, per le aziende più grandi e complesse”, spiega Gabriele Faggioli, docente ordinario del Politecnico di Milano, presidente del Clusit (associazione della sicurezza informatica italiana) e Ceo della società di consulenza P4I.
I dati dell’Osservatorio Sicurezza & Privacy del Politecnico di Milano lo dicono chiaramente.
Il 75% delle aziende intervistate (160) ha dichiarato di aver aumentato il budget in sicurezza informativa e questo aumento è in larga parte dovuto ai progetti di adeguamento al GDPR.
“Interessante anche che nel 2017 il 23% delle aziende interessate ha dichiarato di avere un budget con orizzonte pluriennale in materia di sicurezza e il 35% di avere un budget annuale”, aggiunge Faggioli. Un rapporto di IDC Italia stima in 200 milioni di euro l’impatto del GDPR sulle aziende italiane.
Ancora in queste ore i progetti di adeguamento al GDPR sono in corso, poiché “solo poche aziende certo sono già del tutto conformi alle nuove regole”, dice Faggioli. Lo conferma anche un recente rapporto Capgemini, secondo cui il 48 per cento delle aziende italiane e il 25 per cento di quelle europee dichiara di che non sarà in grado di adeguarsi entro il 25 maggio.
“Dai dati dei nostri sondaggi emerge che oltre il 60% delle imprese sostiene di avere approntato uno specifico programma per raggiungere i requisiti entro il termine del 25 maggio, mentre circa il 20-25% è partito sostanzialmente in ritardo e ben difficilmente taglierà il traguardo in tempo utile per la scadenza”, dice Giancarlo Vercellino, analista di IDC.
“Una PMI con un fatturato non superiore ai 5 milioni di euro è improbabile che possa e voglia investire, nel suo complesso, più di 50 mila euro per l’adeguamento e più di 25 mila euro per la gestione ordinaria degli adempimenti previsti dal GDPR”, aggiunge Giuseppe Vaciago, Partner R&P Legal e fondatore di Tech&Law Center. “Ecco perché molte Pmi stanno attuando un approccio parziale, scegliendo di adeguarsi solo sul fronte legale oppure su quello tecnologico. Invece che su entrambi i punti, come dovrebbero”, aggiunge.
Perché è così difficile, e costoso, adeguarsi al GDPR? “Il 70 per cento delle aziende italiane indicano un obbligo in particolare, come quello più complicato da rispettare: dover “notificare qualsiasi violazione e intromissione nei sistemi entro 72 ore”, dice Vercellino.
Ne nasce, di converso, il nuovo diritto degli utenti a sapere che i propri dati – custoditi da un’azienda, che può essere un hotel così come Facebook – sono stati violati, sottratti, abusati da criminali informatici. O comunque da soggetti che non avevano diritto a usarli in quel modo.
Altri aspetti, giudicati complessi da attuare dalle aziende italiane, sono la gestione dei consensi degli utenti per trattare i loro dati; la nomina del responsabile della protezione dei dati (che il GDPR rende obbligatorio per molte organizzazioni). In generale, soprattutto per le pmi, è costoso e complesso applicare tutte le misure di sicurezza, “ragionevoli” (secondo quanto indicato dalla norma), per proteggere adeguatamente i dati degli utenti.
Nel dettaglio, come spiega Luca Tosoni, avvocato a Bruxelles per Covington & Burling, “l’entrata in vigore definitiva del GDPR il 25 maggio 2018 impone un cambio di mentalità radicale nell’approccio al trattamento dei dati personali da parte delle aziende italiane. Sarà infatti necessario passare da un modello di compliance per lo più reattivo ad uno proattivo, fondato sul principio di “responsabilizzazione”, secondo il quale spetta alle aziende individuare le misure più adeguate per proteggere i dati che trattano e per poter dimostrare il rispetto della normativa sulla privacy”. “Ad esempio – spiega Tosoni – , si abbandonano le prescrizioni dettagliate in materia di misure minime di sicurezza previste dal Codice della Privacy per lasciare posto all’obbligo generico di mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio. L’onere di valutare l’adeguatezza delle misure adottate spetta quindi alle aziende”.
Una sfida complessa, si diceva. Che richiede uno sforzo di maturità mai vissuto dalle aziende italiane.
Eppure, secondo tutti gli esperti, è una fase necessaria. Non solo per evitare le sanzioni, ma soprattutto per aumentare la sicurezza e, nel complesso, la maturità digitale delle aziende. Condizioni necessarie, ormai, per la loro competitività e per quella del sistema Paese.