Le imprese non hanno più scuse per ritardare la propria messa in conformità con il Regolamento Privacy europeo dopo la pubblicazione da parte del Garante delle proprie linee guida sull’argomento.
Ho già discusso in passato del Regolamento Privacy europeo (il cosiddetto GDPR) e di come comporterà un cambiamento di prospettiva da parte delle imprese, soprattutto a causa delle sanzioni che saranno aumentate fino al 4% del fatturato mondiale o 20 milioni di euro, a seconda di quale importo sia maggiore.
Il GDPR diventerà vincolante a decorrere dal 25 maggio 2018, ma secondo una ricerca di CA Technologies solo il 46% delle imprese prevede che sarà al 100% conforme con il regolamento entro questa data e l’88% delle aziende ritiene che dovrà affrontare dei problemi tecnici per darvi attuazione.
Nonostante questo, l’atteggiamento di alcune imprese italiane è stato finora di “wait and see”. Questo comportamento era dovuto alla mancanza di indicazioni chiare nel Regolamento Privacy europeo su cosa dovesse essere fatto, ad esempio, per dare attuazione al principio della portabilità dei dati o per eseguire il privacy impact assessment.
I Garanti privacy europei si sono adoperati per colmare queste lacune, emettendo nelle scorse settimane delle linee guida sugli argomenti più “caldi” del GDPR e il Garante privacy italiano ha ora emesso la propria metodologia in 6 step per conformarsi con il regolamento.
Il Garante italiano fornisce nelle sue linee guida indicazioni molto chiare e sintetiche su come le aziende si dovranno adeguare ai dettami del GDPR, fornendo anche spunti interessanti su come modificare le informative privacy con strutture “multilivello” per facilitarne la comprensione.
Un chiaro messaggio proveniente dalle linee guida è che le imprese dovranno conformarsi entro il maggio 2018 e che non ci sarà una sorta di “periodo di tolleranza”.
Per questo motivo il Garante ad esempio si è adoperato per sollecitare le imprese a garantire che entro la data di entrata in vigore del decreto abbiano distribuito a tutti i propri clienti un’informativa conforme al GDPR e ottenuto i consensi richiesti ai sensi dello stesso. Ciò rappresenta un problema di non poco conto ad esempio per società che hanno rapporti con i propri clienti saltuari (una volta all’anno per esempio) e di cui non possiedono i dati utili a rintracciarli. Queste società dovranno usare la scadenza del 25 maggio 2017 piuttosto che 2018 come proprio punto di riferimento.
Ma il Garante sottolinea anche la necessità di adottare un programma di “accountability” volto a dimostrare di aver adottato le misure necessarie a conformarsi con il GDPR. Infatti, il Regolamento Privacy europeo pone l’onere della prova di dimostrare la conformità con lo stesso a carico delle imprese. Si tratta di una sorta di “probatio diabolica” che necessità non solo l’adozione di procedure e controlli interni, ma anche un cambiamento culturale aziendale. E infatti, lo scopo delle linee guida del Garante è anche di creare una maggiore consapevolezza circa l’onerosità degli obblighi dettati dal GDPR.
Ma come ogni cosa anche il GDPR ha due facce: è vero che introduce obblighi onerosi con rilevanti sanzioni, ma è anche vero che l’adozione di un programma di conformità al Regolamento Privacy europeo adeguato è in grado di fornire alle aziende un notevole vantaggio competitivo, perché nessuna azienda vorrà contrattualizzare (o potrà permettersi di contrattualizzare) fornitori che non siano conformi con il GDPR.
Facebook Comments