General Data Protection Regulation (GDPR) o Regolamento Generale per la Protezione de Dati (RGDPR)
Cos’è e perchè riguarda tutti
La nascita di Internet, del web e poi dei Social Network ha indubbiamente cambiato la nostra vita, risolvendo molti problemi ma anche creandone i presupposti per consentire a chi ha la capacità di accedere ai nostri dati personali di impattare sulla nostra vita in modo molto “reale”.
Ovviamente ogni medaglia ha il suo rovescio, e per tutelare le persone fisiche è necessario che le persone giuridiche, cioè le aziende, rispettino alcuni principi comuni, in modo da garantire la tutela dei dati stessi e quindi delle persone proprietarie di quei dati.
Dal 25 Maggio 2018 il GDPR è completamente attivo, di conseguenza è più che mai importante fare ogni sforzo per essere adeguati poiché, in caso contrario, si rischia di operare nell’illegalità
Perché un regolamento europeo?
Per capire il GDPR è necessario rendersi conto che è una normativa “diversa” dalle leggi a cui siamo abituati, infatti non si basa sui principi del diritto romano, ma su quelli della common law, in quanto non è una legge italiana ma una “superlegge europea”.
Cosa si intende quindi per regolamento europeo?
I regolamenti europei sono norme uguali in tutta europa che hanno un “livello di importanza” superiore rispetto alle leggi dei singoli stati membri, questo proprio per garantire che la norma venga applicata nello stesso modo dalla Finlandia a Malta, dal Portogallo a Cipro.
Per noi italiani questo comporta alcune cose a cui non siamo abituati, tra cui:
Non esiste un “elenco delle cose da fare” che “quando le ho fatte sono a posto”.
Il sistema di gestione della privacy descritto nel GDPR è quello di un modello gestionale e organizzativo molto più che una richiesta di fare alcune cose; per questo vengono enunciati dei principi organizzativi basilari a cui l’azienda deve adeguarsi, e non una serie di misure da mettere in atto.
E’ compito di ogni azienda valutare “come è fatta” e quindi cosa deve fare per rispettare i principi esposti.
La responsabilità è in capo al legale rappresentante dell’azienda e non è delegabile, ma anche l’autorità di decidere è in capo alla stessa persona.
Siamo fin troppo abituati a leggi in cui la risposta da cercare è “a chi la delego in modo da non pensarci più?” Il GDPR è esplicito nel non consentire più questo approccio.
Ma quello che si ottiene in cambio è qualcosa di importante: il legale rappresentante ha l’autorita per decidere come si applicano i principi “a casa sua”.
Questo principio, conosciuto in inglese con il termine “accountability” (termine intraducibile in italiano e che si è tentato di definire come “principio di responsabilità”) permette di valutare le “cose da fare” che nascono dai principi del GDPR calzandole come un guanto alla realtà aziendale specifica.
L’aderenza ai principi del GDPR non è un oggetto da acquistare, ma un processo da assicurare.
Per l’applicazione del GDPR sono probabilmente più importanti i processi, il “come si fa qualcosa” rispetto agli oggetti, al “su che cosa si fa qualcosa”.
Il titolo stesso del regolamento ci dice una cosa importante: il “Regolamento Generale sulla Protezione dei Dati” non ci parla “solo” di privacy, ma di “principi e metodi con cui si proteggono i dati“.
Se si affronta infatti l’adeguamento al GDPR come una opportunità invece che come un problema si può scoprire che quello che stiamo facendo è proteggere i dati sui quali la nostra azienda vive, e senza i quali la nostra azienda muore.
Se da una parte ciò implica che “non si finisce mai di proteggere i dati“, dall’altra parte fa in modo venga portata avanti una esigenza aziendale primaria per chiunque, indipendentemente da quali dati tratta e come lo fa.
Come ultima nota generale si può rilevare anche un’altra cosa che rende questo Regolamento un po’ insolito:
La legge è leggibile e comprensibile per tutti, non solo per gli addetti ai lavori.
Non ci credete?
Provate a leggerla, e poi ci direte…