grayscale photo of city buildings

Privacy e imprese: il problema non è il regolamento

/ Diritto delle nuove tecnologie / Di
Tempo di lettura stimato:9 Minuti, 53 Secondi

Nel discorso aziendale quotidiano, “privacy” è spesso sinonimo di burocrazia. Documenti da firmare, banner da aggiornare, informative da copiare.

Eppure il punto non è il regolamento. Il punto è l’approccio.

Il GDPR, per sua architettura, non chiede un rito formale. Chiede responsabilizzazione: la capacità del titolare di dimostrare — non solo dichiarare — di aver governato i trattamenti con metodo, proporzionalità e misure adeguate. È scritto nero su bianco nei principi, il titolare “è competente per il rispetto” delle regole e “in grado di comprovarlo”.

Questa è la frattura. Da un lato, la compliance “da scaffale”, dall’altro, la compliance “da processo”.

L’equivoco più costoso è sicuramente lo scambiare adempimenti per governo

Molte imprese tradizionali — manifattura, commercio, servizi “offline” — si sono adeguate al GDPR con un’operazione che, ci scuserete, ma oseremmo definire “cosmetica”.Hanno cioè “messo a posto” le carte, ma non i flussi.

È un errore prevedibile, perché il GDPR viene percepito come un elenco di obblighi, ma in realtà è stato pensato come (ed è) una disciplina che funzioni come sistema di controllo interno, che richiede cioè che l’organizzazione sappia leggere i rischi, decidere misure, verificare efficacia, correggere deviazioni.

Questa logica si coglie già dal perimetro applicativo, il GDPR copre infatti i trattamenti automatizzati e, per quelli manuali, solo se i dati sono contenuti o destinati a essere contenuti in un archivio. Non è una norma “astratta”, è una norma che descrive processi reali.

Il GDPR, in altre parole, non chiede perfezione, chiede prova.

La parola chiave è accountability, che non è uno slogan, ma bensì un vero e proprio criterio probatorio.

Significa tre cose, molto concrete.

Primo: sapere cosa si fa, e non “in teoria”, ma in azienda, davvero. Secondo: sapere perché lo si fa e con quale base giuridica. Le basi di liceità sono note e stabili, ma il GDPR sposta l’asse, e in particolare sul legittimo interesse il bilanciamento diventa un compito del titolare, non un “timbro esterno”. Terzo: saper dimostrare che le misure scelte sono adeguate. Ed è qui che si gioca la partita, ed è qui che si perde, spesso.

Il regolamento, infatti, non premia l’iperproduzione documentale, quanto piuttosto la coerenza tra rischio, finalità, dati trattati, misure tecniche e organizzative, e controlli periodici.

Nelle organizzazioni “non digital-native” il trattamento dati è ovunque ma raramente è “visibile”. I dati passano in contabilità, vendite, assistenza, HR, logistica, compliance, videosorveglianza, fornitori IT.

La compliance di facciata fallisce perché si appoggia a un presupposto tacito: “basta avere i documenti”. Ma se accade un incidente, o arriva un’ispezione, la domanda è sempre la stessa: come avete governato il rischio?

E qui emerge lo scarto tra documenti “statici” e controlli “dinamici” (monitoraggio, audit, gestione incidenti, cambiamento organizzativo).

Questo scarto diventa ancora più evidente nella gestione delle violazioni di dati personali e, più in generale, nei trattamenti a rischio elevato, dove la logica del GDPR è risk-based e non rituale.

Un modello serio di accountability, in un’impresa tradizionale, non deve essere sofisticato, deve essere difendibile.

La “spina dorsale” è organizzativa, non cosmetica. La prova della conformità si costruisce con elementi di governance: ruoli, responsabilità, processi, riesami, evidenze.

È la stessa grammatica che si ritrova negli standard di gestione della sicurezza delle informazioni come la ISO IEC 27001: contesto, leadership, pianificazione, supporto, operatività, valutazione delle performance, miglioramento continuo.

Ora, sia chiaro, non serve trasformare il GDPR in una certificazione, serve, però, importarne la logica e cioè misurare, verificare, correggere.

Ed è coerente anche con l’impianto dei controlli “di sicurezza” e “di privacy e protezione della PII” previsti nei controlli ISO/IEC 27002: l’attenzione è posta su asset, accessi, fornitori, incidenti, continuità, conformità.

Altra errata prassi è che nelle PMI e nelle imprese familiari è diffusa un’aspettativa implicita: “nominiamo il DPO e siamo a posto”.

È un fraintendimento molto pericoloso.

Il responsabile della protezione dei dati ha compiti di sorveglianza, consulenza e cooperazione, ma non sostituisce la responsabilità del titolare. E quando il DPO diventa un alibi, l’accountability evapora. Resta la carta. Sparisce il governo.

La domanda che conta davvero è “cosa succede lunedì?”

La compliance reale si vede nelle settimane normali, non nei giorni dell’audit.

Si vede quando cambia un fornitore cloud, o quando entra un nuovo software di gestione ordini, o ancora Quando si attiva un sistema di videosorveglianza “più intelligente” oppure quando il reparto marketing vuole “arricchire” i database.

In quei momenti, l’impresa deve saper rispondere a tre domande essenziali: finalità, basi, misure. E se il rischio cresce, deve sapere quando serve una valutazione d’impatto, con criteri ragionevoli e documentati.

Insomma, il GDPR non è il problema, ma può diventare il capro espiatorio.

Il GDPR è sempre più spesso accusato di frenare il business, ma in realtà mira a creare fiducia e certezza operativa nel mercato interno, evitando frammentazioni e asimmetrie di tutela.

Quando un’impresa dice “il GDPR è troppo complicato”, spesso sta dicendo altro: “Non abbiamo un modello interno per decidere e dimostrare”.

È qui che bisogna intervenire. Non con altra carta. Con un percorso. E un percorso efficace parte da ciò che l’azienda è, non da ciò che vorrebbe sembrare.

Si costruisce così:

  • mappatura concreta dei trattamenti, con flussi e responsabilità;
  • prioritizzazione per rischio, con logiche coerenti e tracciabili;
  • misure tecniche e organizzative calibrate e verificabili;
  • gestione fornitori come catena di responsabilità, non come modulistica;
  • audit e riesami periodici, perché l’organizzazione cambia e la conformità è un equilibrio mobile.

Chi desidera passare dalla compliance “formale” a una compliance reale, può impostare un percorso in cui ogni documento sia la fotografia di un processo, non la sua maschera.

L’informativa e il registro bastano?
No. Sono necessari, ma non sostituiscono il cuore della responsabilizzazione: la capacità di dimostrare scelte, controlli e misure adeguate ai rischi.

Se non faccio “digitale”, il GDPR mi riguarda meno?
Il GDPR si applica anche a trattamenti non automatizzati se i dati sono in un archivio o destinati a esserlo. Molte imprese “analogiche” rientrano pienamente in questa logica.

Il DPO mi mette al riparo?
Il DPO supporta e sorveglia, ma non assume la responsabilità del titolare. Il modello resta in capo all’impresa.

Ed allora, possiamo concludere convenendo che la vera criticità non risiede nel Regolamento (UE) 2016/679, bensì nell’inerzia culturale con cui molte imprese continuano ad affrontarlo. Il GDPR non impone un formalismo sterile. Impone una assunzione consapevole di responsabilità.

La differenza è sostanziale. La compliance di facciata produce documenti, mentre l’accountability autentica produce controllo, tracciabilità e capacità decisionale.

Un’impresa che governa i propri trattamenti conosce i flussi informativi, presidia i fornitori, verifica le misure adottate e aggiorna le scelte alla luce dei rischi emergenti. Non si limita a “dimostrare di aver scritto”. Dimostra di aver deciso, valutato, monitorato. È questo il nucleo dell’articolazione normativa sulla responsabilizzazione del titolare.

Il mercato, oggi, premia le organizzazioni affidabili. E l’affidabilità non si proclama. Si prova.

Per le imprese tradizionali il passaggio è culturale prima ancora che tecnico: abbandonare l’illusione dell’adempimento episodico e adottare un modello permanente di governo del dato. Solo così la privacy cessa di essere percepita come vincolo e diventa, invece, un elemento di stabilità giuridica e competitività.

Il regolamento non è il problema. Il problema è fermarsi alla superficie.

Chi intende consolidare una posizione realmente conforme deve intraprendere un percorso di compliance strutturato, fondato su accountability effettiva, verifiche periodiche e misure proporzionate al rischio. È un investimento organizzativo. Ma è anche una tutela preventiva contro sanzioni, contenziosi e crisi reputazionali.

La scelta, in definitiva, è semplice: conservare documenti o costruire governance.

Per approfondire:

- G. FINOCCHIARO, La protezione dei dati personali in Italia, Bologna, 2019;

- M. G. RICCIO, G. SCORZA, E. BELISARIO, GDPR e Normativa Privacy Commentario, Padova, 2018;

- R. SCIAUDONE, E. CARAVÀ, Il codice della privacy - Commento al D. Lgs. 30 giugno 2003, n. 196 e al D. Lgs. 10 agosto 2018 n. 101 alla luce del Regolamento (UE) 2016/679 (GDPR), Pisa, 2019; 

- S. SICA, V. ZENO ZENCOVICH, Manuale di diritto dell'informazione e della comunicazione, Padova, 2019; 

- A. CICCIA MESSINA, N. BERNARDI, Privacy e Regolamento Europeo, Padova, 2017; 

- R. BESSI, Il trasferimento dei dati personali verso paesi terzi nel regolamento generale sulla protezione dei dati, in Rivista di diritto dei media, 3/2017, pp. 1-28.

- G. BUTTARELLI, Il trasferimento internazionale dei dati personali tra continuità e innovazione: il regolamento generale sulla protezione dei dati e il protocollo modificativo alla convenzione 108 del Consiglio d'Europa, in Diritto dell'informazione e dell'informatica, 1/2018, pp. 3-24.

- P. DE HERT, V. PAPAKONSTANTINOU, The new General Data Protection Regulation: Still a sound system for the protection of individuals?, in Computer Law & Security Review, 2016, vol. 32, n. 2, pp. 179-194.

- F. FABBRINI, Schrems II: A watershed moment for data privacy?, in European Law Review, 2020, vol. 45, n. 6, pp. 769-789.

- G. FINOCCHIARO, G. RESTA, Il trasferimento internazionale dei dati personali tra diritto europeo e diritto interno: profili sostanziali e processuali, in Giurisprudenza italiana, 2019, vol. 167, n. 11-12, pp. 2615-2624; 

- G. FINOCCHIARO, Identità personale su Internet: Il diritto alla contestualizzazione dell’informazione, in DInf, 28, 3, 2012, 383; 

- G. FINOCCHIARO, Il diritto all’oblio nel quadro dei diritti della personalità, in DInf, 29, 4-5, 2014, 596;

- A. RICCI, I diritti dell’interessato, in G. FINOCCHIARO (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, 2016, 201;

- F. PIZZETTI, Le Autorità Garanti per la protezione dei dati personali e la sentenza della Corte di giustizia sul caso Google Spain: è tempo di far cadere il “Velo di Maya”, in RESTA-ZENO-ZENCOVICH, Il diritto all’oblio su Internet dopo la sentenza Google Spain, Roma, 2015, 274; 

- F. PIZZETTI, Il prisma del diritto all’oblio, in F. PIZZETTI, Il caso del diritto all’oblio, Torino, 2013, 21-63; 

- T.E. FROSINI, Il diritto all’oblio e la libertà informatica, in F. PIZZETTI (a cura di), Il caso del diritto all’oblio, Torino, 2013, 94; 

- A. MANTELERO, Il diritto all’oblio dalla carta stampata ad Internet, in F. PIZZETTI (a cura di), Il caso del diritto all’oblio,  Torino, 2013, 145-172;

- SIANO, Il diritto all’oblio in Europa e il recente caso spagnolo, in F. PIZZETTI (a cura di), Il caso del diritto all’oblio, Torino, 2013, 125; 

- D’ANTONIO, Oblio e cancellazione dei dati nel diritto europeo, in SICA-D’ANTONIO-RICCIO (a cura di), La nuovadisciplina europea della privacy, Milano, 2016, 207; 

- FERRI, Diritto all’informazione e diritto all’oblio, in RDC, 1990, I, 818; 

- OROFINO, Trattamento dei dati personali e libertà di espressione e di informazione, in CALIFANO-COLAPIETRO (a cura di), Innovazione tecnologica e valore della persona, Il diritto alla protezione dei dati personali nel Regolamento UE 2016/679, Napoli, 2017; 

- E. PELINO, I diritti dell’interessato, in BOLOGNINI-PELINO-BISTOLFI, Il Regolamento privacy europeo, Commentario alla nuova disciplina sulla protezione dei dati personali, Milano 2016, 259, 263, 264; 

- RICCIO, Diritto all’oblio e responsabilità dei motori di ricerca, in DInf, 29, 4-5, 2014, 759; 

- COOLEY, Treatise on the Law of Torts del 1879, in GLANCY, The Invention of the Right to Privacy, Arizona Law Review, vol. 29, 1, 1979; 

- WARREN-BRANDEIS, The Right to Privacy, in Harvard Law Review, vol. 4, 1890, V, 193-220; 

- G. ALPA, A. IANNINI, P. ROCCO, Circolazione e protezione dei dati personali tra libertà e regole del mercato, Milano, 2019; 

- G.M. RICCIO, G. SCORZA, E. BELISARIO, GDPR e normativa privacy, Commentario, Padova, 2018; 

- L. BOLOGNINI, E. PELINO (diretto da), Codice della disciplina privacy, Milano, 2019; 

- A. AVITABILE, Il Data Protection Officier, in G. FINOCCHIARO (diretto da), Il nuovo regolamento europeo sulla privacy e protezione dei dati personali, Bologna, 2017; 

- E. PELINO, L. BOLOGNINI, C. BISTOLFI, Il Regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016.
The following two tabs change content below.
Il mio profilo FacebookIl mio profilo LinkedIn

Nicola Nappi

⚖️ Diritto commerciale, assicurativo, bancario, delle esecuzioni, di famiglia. Diritti reali, di proprietà, delle locazioni e del condominio. IT Law. a Studio Legale Nappi
*Giurista, Master Universitario di II° livello in Informatica Giuridica, nuove tecnologie e diritto dell'informatica, Master Universitario di I° livello in Diritto delle Nuove Tecnologie ed Informatica Giuridica, Corso di Specializzazione Universitario in Regulatory Compliance, Corso di Specializzazione Universitario in European Business Law, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Le procedure di investigazione e di rimozione dei contenuti digitali, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Intelligenza Artificiale, attacchi, crimini informatici, investigazioni e aspetti etico-sociali, Master Data Protection Officer, Consulente esperto qualificato nell’ambito del trattamento dei dati.
error: Misure tecnologiche di protezione attive ex art. 11 WIPO Copyright Treaty, §1201 del DMCA, art. 6, dir. 29/2001/CE, art. 102-quater, l. 22 aprile 1941, n. 633, art. 171-ter, l. 22 aprile 1941, n. 633.