Il senso del GDPR e la tutela della privacy

Utilizzato per definire gli ambiti della riservatezza, il significato di “privacy” è oggi esteso a molti aspetti nel pubblico e nel privato.

Il termine ha allargato sempre di più la sua forbice: dagli ambiti che la singola persona possiede a tutela e salvaguardia della proprie informazioni, quindi ai diritti che la stessa può esercitare per controllare le informazioni che la riguardano, al diritto che l’informazione ha di esercitare la sua libera espressione come opinione, coscienza e conoscenza, fino ai diritti di sviluppo, perfezionamento e diffusione delle nuove tecnologie capaci di migliorare la partecipazione dell’individuo alla vita politica e sociale. In poche righe abbiamo usato tre volte la parola “diritto”.

Non esiste alcuna tutela del diritto senza norme, senza leggi. Naturalmente, l’Unione Europea, nell’ufficialità della sua continua opera di mediazione tra gli Stati sovrani, ha approfondito il problema (già da tutti affrontato, Italia compresa), producendo una serie di regolamenti in materia di protezione dei dati personali il cui culmine è avvenuto con il regolamento 2016/679, entrato in vigore il 25 Maggio 2018, noto con la sigla GDPR (in inglese Generale Data Protection Regulation). Il passo in avanti compiuto da tale regolamento per i cittadini europei è stato sinteticamente descritto da Innocenzo Genna, giurista esperto in regolamentazione europea delle telecomunicazioni e di Internet: “per prima cosa sono stati conferiti poteri molto forti alle autorità nazionali competenti per la data protection in relazione a operatori europei; il secondo elemento importante è la disciplina del consenso, cioè una delle basi giuridiche che permettono agli operatori di trattare i dati degli utenti. Il consenso dovrà essere dato liberamente; quindi nell’uso di un’applicazione potremo dire: la uso, ma non voglio concedere il trattamento dei miei dati da parte di chi ha sviluppato l’applicazione“.

Questo notevole approfondimento della materia del diritto delle persone non impedisce, però, al regolamento una uguale considerazione per il mondo delle imprese. Ci riferiamo all’articolo 13 per capire l’intendimento della nuova normativa: “il presente regolamento prevede una deroga per le organizzazioni che hanno meno di 250 dipendenti per quanto riguarda la conservazione delle registrazioni. Inoltre le Istituzioni, gli organi dell’Unione, gli Stati membri e le loro autorità di controllo sono invitati a considerare le esigenze specifiche delle micro, piccole e medie imprese nell’applicare il presente regolamento”. E molte società di noleggio rientrano in queste categorie.

Uno strumento importante

L’impatto di questa serie di norme che hanno richiesto e continueranno a richiedere alle imprese di effettuare cambiamenti significativi nei loro programmi di sicurezza e gestione, può diventare (deve diventare) un’azione innovativa e costituirsi in una convinzione: il GPDR non rappresenta una limitazione (anche se l’adeguamento ha un costo – del resto cosa non ha costi?), ma la rivoluzione di un sistema di protezione a tutela delle informazioni personali e dell’attività imprenditoriale per diminuire le cause d’incidenti informatici, un esempio su tutti quello che è accaduto negli ultimi mesi a Facebook che coinvolge centinaia di migliaia di persone e società. Le imprese possono trovare, nel regolamento, l’opportunità di ridefinirsi e migliorare le loro strategie di business con una migliore preparazione e gestione delle risorse umane a loro disposizione e con una migliore qualità della relazione con gli stakeholder. La convinzione è che la maggior cura, custodia e protezione nel campo delle proprie infrastrutture informatiche, hanno lo stesso peso di qualsiasi altra progettazione o innovazione imprenditoriale. Ricordiamo, a titolo di esempio, che alcuni caratteri fondamentali del GPDR sono le minimizzazioni, cioè la raccolta esclusiva dei dati necessari alle finalità dichiarate; la limitazione alla conservazione, cioè il fatto che i dati possono essere conservati solo per il tempo necessario a conseguirne le finalità; la responsabilizzazione dei titolari del trattamento, cioè la consapevolezza conseguita da chi ha la gestione dei dati con la finalità di maggior tutela e miglioramento reddituale.

In questo senso, il GPDR non deve essere inteso come un gravame, un peso da scrollarsi di dosso in qualche modo e presto, oppure come una nuova “burocrazia di carte” da relegare a qualche consulente legale o processo informatico; ma un coefficiente di competitività che caratterizzerà, come altri fattori, il grado di affidabilità, correttezza e solidità di un’impresa.

Di qualsiasi impresa.