La tutela del dato: cosa succederá adesso?
Definire la situazione relativa all’attuazione della nuova normativa europea in materia di tutela dei trattamenti di dati personali (Regolamento UE 2016/679, GDPR) nei paesi membri dal 25 maggio 2018, risulta alquanto complesso dal momento che è difficile tracciare e definire il livello di consapevolezza sia delle persone fisiche che delle aziende in merito all’impatto che tale normativa ha, e soprattutto potrà avere negli anni futuri.
A livello normativo il GDPR è entrato in vigore già nel 2016, ma il legislatore europeo, proprio in ragione dell’impatto che tale normativa avrebbe avuto nella vita di tutti i giorni sia a livello personale che a livello lavorativo, aveva previsto un periodo di sospensione delle norme per agevolare l’adeguamento alle stesse.
Molto probabilmente, sotto questo profilo l’Italia ha compiuto due errori strategici: il primo è stato di non recepire immediatamente (nel 2016) il regolamento, provvedendo a emanare il D.Lgs. 101/2018 solo nell’agosto del 2018. Il secondo errore è stato prevedere nel predetto decreto l’introduzione dell’art. 22 comma 13 che da molti è stato interpretato come un periodo di moratoria, mentre detta norma prevedeva che l’Autorità per i primi otto mesi dall’entrata in vigore del decreto tenesse conto, anche ai fini sanzionatori, della fase di prima applicazione.
Questa incertezza in merito all’applicazione delle normative europee ha portato molti soggetti economici a bloccare gli investimenti in materia di protezione dei dati per “vedere cosa sarebbe successo”, con l’effetto che oggi – a ben 3 anni dall’emanazione del Regolamento Europeo – ci sono moltissimi operatori economici del tutto privi di qualsivoglia adeguamento alle predette norme.
Il GDPR, visto spesso come un’inutile spesa da molte aziende, spesso si rivela un ottimo escamotage per rimettere mano a molti processi aziendali, ripensarli, migliorarli e renderli efficienti sia sotto il profilo produttivo che sotto il profilo economico.
Molto spesso le aziende adottano anche inconsapevolmente delle buone prassi che, se formalizzate, andrebbero ad integrare quel principio di autoresponsabilizzazione (accountability) che è il principio cardine della normativa GDPR.
Di conseguenza oggi più che mai è necessario che le aziende ripensino al proprio modello organizzativo sia in termini di “saper fare” che del “saper conoscere”: la formazione sotto il profilo della tutela del dato diventa sempre più un valore aggiunto che aumenta la percezione di professionalità dell’azienda che vuole operare nel terzo millennio in Italia e in Europa.