I cittadini italiani, senza particolari “colpe” e forse da tempo allergici, con qualche buona giustificazione, alla burocrazia troppo imperante in diversi aspetti del nostro Paese, si sono posti da sempre una domanda “cruciale”: … ma la privacy esiste davvero oppure è solo una finzione amministrativa ?
Ebbene, nel valutare questo atteggiamento non va certo trascurato il “precedente” del vecchio testo unico del 2003 che, evidentemente privilegiando l’aspetto regolatorio e un pò trascurando invece quello sostanziale, ha posto la propria attenzione innanzi tutto sugli adempimenti da imporre e solo in seconda istanza sui risultati da ottenere.
Tutto ciò con la conseguenza di condurre il nostro Paese negli anni ad una progressiva situazione di complicanze, per la quale si è spesso posta soluzione gravando sul Garante e la sua responsabilità normativa, rendendosi quindi necessari suoi provvedimenti e sue pronunce in troppe situazioni contingenti, prime fra tutte quelle commerciali private.
Giunge così nel 2018 il Regolamento Europeo n.679, meglio noto con l’acronimo di GDPR, a costituire una “opportunità” per tutti: quella di offrire un sistema regolatorio unico, chiaro, applicabile e soprattutto di riferimento ampio e generale.
Una nuova domanda quindi si affaccia ora per tutti: … è stato così ? Il Gdpr ha chiarito i dubbi ed ha fornito gli strumenti idonei a realizzare finalmente la vera tutela della privacy ?
La risposta dipende anche dagli addetti ai lavori, cioè da come essi sapranno interpretare il Regolamento ed applicarlo di conseguenza.
Non mancano infatti alcuni difetti anche in questa nuova “regola”; uno su tutti – ad esempio – proprio quello legato alla normativa sulla sicurezza dei sistemi digitali e delle informazioni e dei dati elettronici. La spinta infatti innovativa del Gdpr, quella relativa all’introduzione del concetto di “responsabilità” (accountability del Titolare dei trattamenti), proprio sugli aspetti della sicurezza informatica ha smarrito gran parte della sua forza.
Infatti, invece di restare nel binario costituito dalla dettatura dei criteri generali della responsabilità per la sicurezza – come si pone in generale il Regolamento stesso in tutti gli altri suoi ambiti – si assiste nella lettura dell’art.32, quello essenzialmente dedicato al trattamento “sicuro” dei dati in formato elettronico, ad una quanto mai parziale esemplificazione di criteri, quali la pseudonimizzazione, nella trascuratezza invece di altri, peraltro potenzialmente più importanti, alcuni dei quali ad esempio figuravano nel superato “Allegato B” del d.lgs.196, ormai di antica memoria ma, per molto tempo, utilissimo riferimento organizzativo dei sistemi di controllo aziendali in tema di “information technology”.
Ma tant’è, questo è il GDPR. Resta piuttosto la considerazione già fatta che porta ad un giudizio complessivamente positivo della norma, nella misura in cui potrà essere correttamente, pragmaticamente e con giusta coerenza applicata.
Questo è il nostro pensiero; questo è il modo di operare del nostro team, sempre ispirato alla sua fondamentale mission: innovazione ed esperienza.
Anche nel contesto della privatezza dei dati e delle informazioni personali, questo è il modo giusto di operare: cogliere l’innovazione del Regolamento europeo, facendo tuttavia “tesoro” delle precedenti esperienze per non ripetere gli stessi errori.
Alla luce di questo approccio il GDPR verrà innanzi tutto applicato nel rispetto della sua filosofia di base: l’accountability, così come espressa in tutto il documento normativo, a cominciare dall’art.5 comma n.2 e dall’art.24.
Nella pagina Sistemi di gestione privacy troverai la descrizione delle fasi principali del processo di consulenza alla implementazione di un sistema di gestione aziendale conforme ai requisiti di rispetto e tutela della privacy.