Dall’entrata in vigore del GDPR ad oggi, esiste una copiosa letteratura, più o meno approfondita, capace di spiegarne i contenuti, le implicazioni giuridiche, tecniche ed organizzative nella vita di ogni azienda.
Se volessimo vedere il GDPR come una montagna, si potrebbe dire che le aziende, grazie a questi contenuti, sono in grado di scendere per i suoi pendii molto ripidi (e talvolta scivolosi) per arrivare in sicurezza a valle, al riparo da tutte le insidie del percorso di adeguamento alla nuova normativa.
Quante volte però qualcuno si è fermato a chiedere il perché del GDPR? Quante volte si è guardato a verso la vetta della montagna e al paesaggio durante la discesa?
In questo secondo articolo del nostro filone di approfondimento sul tema GDPR andiamo ad analizzare i quattro grandi perché.
-
Perché nasce il GDPR?
-
Perché adeguarsi al GDPR?
-
Perché il GDPR rovescia il principio di stabilimento?
-
Perché è importante il GDPR?
Perché nasce il GDPR?
È piuttosto scontato che la prima domanda che ci si pone davanti al GDPR sia: perché si è sentita l’esigenza di adottare questo regolamento?
La protezione dei dati personali infatti era già regolata sia a livello europeo che nazionale con il D. Lgs. 196/2003 noto proprio come “Codice privacy” quindi, perché si è giunti al GDPR?
Si può dire che il GDPR nasce da un cambio di mentalità. Con il GDPR si è voluto attuare un cambio di mentalità nei confronti della riservatezza e del controllo sulle informazioni personali.
La tecnologia corre a una velocità sempre maggiore, presentando sfide e pericoli nuovi per ognuno dei vantaggi che offre e diramandosi in sempre maggiori possibilità di utilizzo. La velocità raggiunta ormai impedisce di garantire le opportune tutele attraverso lo strumento normativo che diverrebbe superato prima ancora di entrare in vigore.
Il GDPR quindi non pone più al centro del sistema di tutela una disposizione normativa ma concentra l’attenzione sul Titolare del trattamento, cioè quel soggetto che utilizza i dati personali per determinate finalità e con modalità e mezzi scelti da lui.
È proprio il Titolare, infatti, che deve scegliere le misure di sicurezza e garantire il loro continuo adeguamento. In questo modo, non solo si avrà un sistema sempre adeguato con i tempi ma anche si eviterà di porre inutili aggravi tecnici ad imprese che svolgeranno trattamenti di dati personali a basso rischio.
Il GDPR però risulta essere ancora più ambizioso nella misura in cui, effettuando questa vera e propria rivoluzione copernicana si propone anche di generare una maggior fiducia negli individui, invitandoli e rassicurandoli a comunicare i propri dati, potendo da un lato godere dei servizi di loro interesse e dall’altro consentendo l’esercizio delle attività economiche.
Perché adeguarsi al GDPR?
Comprese le ragioni che hanno portato alla nascita del GDPR, le imprese si chiedono perché sia necessario adeguarsi al GDPR.
Le ragioni principali sono tre.
La prima è relativa al rischio di incorrere in una sanzione (il GDPR prevede, a seconda della violazione commessa, un importo che può arrivare fino a 10 milioni di euro o fino a 20 milioni di euro) che dati gli importi potenzialmente molto elevati, può arrivare ad incidere in maniera considerevole sui bilanci.
La seconda è quella di ottenere un vantaggio competitivo. L’attuale situazione globale infatti ha determinato una maggiore dematerializzazione delle relazioni e, di conseguenza, gli utenti sono sempre più attenti a come vengono trattati i propri dati.
Disporre di un sistema di gestione dei dati a prova GDPR consente di instaurare fiducia negli stakeholders che, a sua volta, comporterà la loro fidelizzazione e pubblicità positiva, con conseguente riduzione delle spese di marketing.
La terza (ma non l’ultima) ragione per la quale ci si deve adeguare al GDPR è relativa alla responsabilità sociale connessa al trattamento dei dati personali.
Ogni giorno la cronaca riporta eventi negativi nati proprio da una scarsa conoscenza del valore dei dati personali e delle conseguenze del loro errato uso o di poca attenzione alla loro conservazione.
Trattare dati inevitabilmente comporta anche una responsabilità in questo senso e investire nella loro protezione, dalle misure tecniche alla formazione del proprio personale, aiuta a creare una consapevolezza diffusa sul valore dei dati e sulla necessità di porre in essere le dovute attenzioni sia in fase di conferimento, sia in fase di trattamento.
Perché il GDPR rovescia il principio di stabilimento?
Risposto alle prime due domande, nell’iniziare l’opera di adeguamento, il GDPR presenta subito un primo forte cambiamento.
Può sembrare un elemento secondario oppure poco rilevante nel concreto di tutti gli interessati al trattamento ma invece comporta dei risvolti importantissimi in ottica di tutela e garanzia dei diritti e di controllo sui dati. Stiamo parlando della definizione di “stabilimento”.
Si tratta di un’informazione fondamentale perché è lì che dovranno essere rivolte tutte le richieste inerenti al trattamento ed è il luogo dello stabilimento che determinerà l’autorità nazionale competente alla sorveglianza.
Secondo il GDPR lo stabilimento può non essere la sede legale o amministrativa del titolare nel caso in cui le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni.
Ai fini dell’imputazione degli obblighi e delle responsabilità derivanti dal GDPR quindi, lo stabilimento principale potrebbe non coincidere con la sede legale o amministrativa dell’azienda.
Se si considera quanto detto prima in merito alla dematerializzazione delle relazioni, alla digitalizzazione dei processi che spesso travalicano i limiti nazionali, se non addirittura continentali, si comprende facilmente come il GDPR in questo modo garantisca già una forte trasparenza del trattamento e una potente forma di garanzia verso gli interessati. Questo consente di slegare la gestione dei dati personali e la responsabilità del loro trattamento dall’organizzazione interna di ogni azienda talvolta, e specialmente se si tratta di grossi gruppo societari, molto complessa e oscura per l’interessato, il quale non potrebbe facilmente avere le informazioni relative al trattamento e potrebbe essere ostacolato nell’esercizio dei propri diritti.
Perché è importante il GDPR?
Dopo aver spiegato le ragioni che hanno determinato la nascita del GDPR e su alcuni suoi elementi innovatori è opportuno chiudere il cerchio rispondendo al perché è importante il GDPR.
Non andremo a riepilogare quanto già scritto sopra, ma certamente ognuna delle domande precedenti contiene dei punti che confermano l’importanza del GDPR. Il GDPR si presenta di fatto come una legislazione di principio, anche se spesso molto dettagliata, lasciando alle persone il compito di ridurre il rischio connesso al trattamento dei dati personali.
Ciò significa che le aziende sono più libere di adattarsi ai cambiamenti della tecnologia senza dover essere legate ai tempi propri degli adeguamenti normativi, consentendo così una minor incertezza dovuta dall’attesa che le decisioni vengano prese altrove. Di certo l’adeguamento al GDPR comporta l’impiego di tempo e denaro ma i vantaggi sono molti e duraturi. Big data e intelligenza artificiale sono solo alcune delle moderne tecnologie utilizzabili dalle aziende e che comportano il coinvolgimento di dati personali.
Il GDPR permette di poterle usare correttamente nell’interesse di tutti. Si è davvero disposti a farne a meno o ad utilizzarle totalmente all’oscuro dei rischi e dei doveri? la risposta non può che essere no.
Il GDPR ci consente di affrontare le future sfide grazie alle nuove tecnologie, garantendo grandi vantaggi e rispettando i diritti di tutti.
