Il GDPR, Regolamento Europeo 2016/679, ha alla propria base il principio di Accountability, termine che potrebbe essere meglio tradotto e reso comprensibile in italiano e quindi applicato al nostro ordinamento, con la parola “responsabilizzazione”. E’ infatti questo non solo uno dei principi ma anche dei desiderata che il legislatore europeo si è posto quando ha voluto creare un sistema per armonizzare il diritto europeo in materia di privacy, garantendo così di lasciare ampi “spazi di libertà“ oltre che di “sicurezza e giustizia”. E di libertà ne è stata lasciata molta a chi deve occuparsi della raccolta e protezione dati degli interessati.
E’ stato infatti posto in evidenza come il testo del GDPR, oltre ad una serie di previsioni e definizioni, abbia molti spazi vuoti ma indispensabili, che devono essere riempiti da chi lo applicherà in concreto. Non è certo un caso che nei suoi novantanove articoli e, addirittura, nei 173 considerata iniziali, non siano contenute parole che ci si poteva aspettare di trovare quali, ad esempio, backup, memoria, computer, ma anche la immaginabile password parlando di sistemi di sicurezza. Nessuna prescrizione o imposizione di comportamenti nella predisposizione dei sistemi di sicurezza e protezione dati da parte di aziende, professionisti e altri destinatari della norma, massima discrezionalità nel rispetto delle linee guida del GDPR (perché tali si possono ben definire) purché vengano applicati i principi della privacy by design e by default e i dati vengano tenuti in sicurezza.
Esaustivo e sintomatico l’articolo 32 del GDPR (Sicurezza del trattamento) che esordisce con le parole “Tenendo conto dello stato dell’arte e dei costi…”. Il legislatore europeo, in tal senso, ha sottolineato come nella predisposizione di un sistema di protezione dati ogni soggetto deputato non debba prescindere dalla valutazione dei costi che dovrà sostenere rispetto al risultato, che deve essere comunque garantito alla sua utenza. Doveri sì, ma nessuna imposizione di sistemi particolari o specificati che potrebbero rivelarsi, non solo per piccole attività, oltremodo antieconomici.
Nasce da qui la necessità per ogni operatore che voglia dotarsi, trattando i dati personali in suo possesso nella corretta maniera, anche di uno strumento di gestione aziendale che eviti non solo pesanti sanzioni economiche, ma anche il rischio di essere oggetto di misure correttive o altri provvedimenti interdittivi da parte del Garante. Quale potrebbe rivelarsi l’impatto, più che di una sanzione, di dover scrivere a tutti i propri utenti per comunicare un data breach e le possibili conseguenze che potrebbero derivare dall’uso improprio dei suoi dati, ovvero la chiusura di un sito o il divieto di trattare dati? Ecco quindi che, specialmente per le imprese, i margini di discrezionalità concessi per un adeguamento al GDPR sulla base della accountability possono essere anche utilizzati per creare una gestione etica della privacy anche in funzione di immagine aziendale. Niente spese folli quindi, ma muovendo da un’attenta analisi dell’azienda, della sua attività, dei dati trattati, ecco che possono essere creati modelli di gestione della privacy e trattamento dati che possano portare l’azienda stessa nella direzione di educazione alla protezione del dato e consapevolezza dei diritti degli interessati. Che lo si possa definire un nuovo modello di gestione?
Allora ben venga una lettura integrata di questo sistema con le nuove norme previste dal Codice della crisi di impresa che, salvo ulteriori rinvii entrerà in vigore il primo Settembre 2021 e che determinerà una nuova maniera da parte dell’imprenditore stesso di guidare la propria azienda. Il doversi infatti adeguare a parametri, indici, metodi di valutazione non solo per evitare situazioni di decozione e insolvenza, porterà verosimilmente ad una rivisitazione anche della gestione privacy.
0 Commenti
Scrivi un commento