Labirinto privacy, una macchina burocratica che fa bene al business | Agenda Digitale

L'APPROFONDIMENTO

Labirinto privacy, una macchina burocratica che fa bene al business

Non solo GDPR: la protezione dei dati personali si declina attraverso una pletora di leggi europee, nazionali e locali spesso di difficile comprensione. Serve però sgombrare il campo dai luoghi comuni: costi di adeguamento e adempimenti non sono una perdita di tempo. Ma un’opportunità per la crescita sul lungo periodo

28 Ott 2020
Roberto Maraglino

Data Protection & Information Security Manager


In Italia ci sono molte, troppe leggi. Nessuno sa con certezza quante siano ma un dato è certo: sono tante, spesso sono inutili, alcune non prevedono sanzioni, sono perlopiù lunghe e talvolta incomprensibili. Non fa eccezione la normativa privacy. Ma attenzione: la sua applicazione e relativi investimenti possono rivelarsi un’opportunità per la crescita sul lungo periodo.

Norme europee, nazionali e locali

Sul versante della normativa privacy, se non verrà messo un freno fra qualche anno districarsi fra i cavilli giuridici e le ormai numerose leggi, sarà un’impresa titanica. Ma questa volta la colpa non è solo del legislatore nazionale, la regolamentazione privacy è ormai di derivazione europea.

Con l’introduzione del Regolamento UE 2016/679 (GDPR) ed il mercato unico bisogna considerare oltre al GDPR, le Opinion del Working Party, le Guidelines del European Data Protection Board oltre agli orientamenti delle altre Autorità Privacy degli stati membri e i vari accordi anche internazionali. Poi vi sono le tantissime norme locali e in questo il nostro legislatore è fra i più prolifici. Oltre al D.Lgs 196/2003, vi sono i vari Provvedimenti del Garante Privacy, giusto per citare i più importanti. Dati alla mano, secondo l’ultima relazione annuale, il Garante, nel solo 2019, ha adottato 232 provvedimenti collegiali.

In realtà andrebbero considerate anche le varie fonti nazionali che si alternano, fra leggi e leggine, per modificare le procedure privacy, contrastare rischi e fronteggiare le nuove sfide che la tecnologia pone. Le ordinanze, i DPCM, le circolari, i protocolli e le altre fonti provano a normare ognuno un piccolo pezzo del variegato caleidoscopio di settori privacy.

Prova ne è l’ultima impresa del Garante Italiano che per l’emergenza Coronavirus ha provato a fornire un piccolo aiuto con la sua Raccolta delle principali disposizioni adottate in relazione allo stato di emergenza epidemiologica da Covid-19 aventi implicazioni in materia di protezione dei dati personali. Nella versione aggiornata al 2 Luglio 2020 nelle sue 510 pagine contava oltre 715 norme. Questo solo per il Coronavirus.

Occuparsi di Privacy è ormai una sfida per gli operatori stessi che devono districarsi fra un numero crescente di fonti talvolta per giunta in contrasto fra loro. In realtà la crescita esponenziale di norme in questa nuova branca del diritto è figlia di nuove esigenze di contrasto del crimine nell’interesse stesso delle organizzazioni che le devono applicare, ma anche nell’interesse della collettività.

Libera circolazione dei dati in sicurezza

La finalità non è cioè quella di limitare la circolazione dei dati e porre un freno all’economia ma al contrario garantire la libera circolazione dei dati in sicurezza. Non deve certamente essere la legge a precludere l’interesse delle organizzazioni. Per fare un esempio si potrebbe, parafrasando Carlo Cottarelli in un suo celebre libro, “I sette peccati capitali dell’economia”, affermare che “per contrastare la corruzione serve maggiore trasparenza quindi una maggiore disponibilità di dati”.

Del resto se i limiti alla circolazione dei dati, e quindi al contrasto della corruzione, derivano dalla normativa privacy, c’è un problema di fondo che non permetterà mai alla normativa di essere considerata un baluardo a difesa del singolo. Se invece la privacy verrà percepita come una opportunità per “certificare il dato”, per accreditarne l’affidabilità anche in periodo di “infodemia”, allora la privacy potrà evolvere verso altre sfide. Chi si occupa di tali temi sa che inscindibile dalla data protection è l’information security che con i suoi strumenti garantisce l’”integrità dei dati”. Il dato deve essere qualitativamente attendibile e sicuro.

Il problema dei costi

Guardando ai numeri di qualche anno fa (2013), secondo uno studio prodotto dall’Ufficio per la Semplificazione Amministrativa del dipartimento della Funzione pubblica della Presidenza del Consiglio, il costo degli adempimenti burocratici gravanti sulle piccole e medie imprese, nel periodo 2008-2012, era di 31 miliardi all’anno, di cui la sola privacy costava 2,6 miliardi. “Troppi soldi, soldi buttati”, direbbe qualcuno.

WEBINAR
Sicurezza e Smart Working: elementi strategici per il business
Sicurezza
Cybersecurity

Prima di rispondere andrebbero sfatati alcuni luoghi comuni, in primis che la privacy crea burocrazia e poi che sia in antitesi ad altri diritti o addirittura un fardello per la Pubblica Amministrazione.

Come rimarcato più volte anche dallo stesso Garante, (vedi ultima “Relazione annuale”) non vi è contraddizione fra Trasparenza e Privacy, ma serve equilibrio fra il dovere di consentire l’esercizio dei diritti, la protezione della PA, e quindi l’interesse della collettività stessa, ed il diritto dei singoli a rinunciare della propria riservatezza in nome della trasparenza. Allo stesso tempo serve dare autonomia e potere alla giustizia e ai diritti costituzionali senza mai rinunciare al diritto alla riservatezza. Pensiamo alle necessità investigative, alle intercettazioni, al diritto di cronaca. Un vecchio detto sempre valido dice: la mia libertà finisce dove inizia la tua. Non è detto che la privacy sia in contrasto e non possa convivere con altri diritti. Il Covid-19 ci ha insegnato per esempio che diritto alla Salute e diritto alla Privacy possono convivere. Certo! Vi sono zone grigie ma esistono proprio perché troppe volte il confine fra i diritti viene spostato in funzione della forza contrattuale di chi li negozia.

Anche la raccolta del consenso privacy ed il rilascio della informativa privacy, che nell’accezione generale rappresentano per gli imprenditori l’adempimento madre per il rispetto della normativa privacy, in realtà, non devono essere visti come meri adempimenti formali ed una perdita di tempo ma al contrario un’opportunità. Non perché consentirebbero di evitare le relative sanzioni. Lo spauracchio della sanzione privacy fino al 4% del fatturato è stato già troppe volte utilizzato impropriamente per convincere gli scettici. Ciò ha solo contribuito a generare il “terrorismo delle sanzioni” ed una generale disaffezione che ci ha indotto a percepire il rispetto della norma come un obbligo, nient’altro.

Un’opportunità, non un costo

Serve invece ribadire che per andare incontro al futuro bisogna coglierne le sfide che proprio la norma impone e provare a realizzare realmente una privacy by design e by default. Creare un database strutturato e sicuro è una opportunità se l’imputazione dei dati è operata dai soggetti stessi o da soggetti accreditati. Anche la compilazione della modulistica non andrebbe mai sottovalutata. Tutto serve a garantire la riservatezza e compilare moduli non riduce l’efficienza se la “compilazione” è fatta con criterio e non è un’ulteriore raccolta di dati; capita tuttavia che, anziché essere una manifestazione attiva, libera ed informata, il consenso sia una raccolta, non del tutto libera da condizionamenti, cartacea, talvolta anche inutile, di informazioni già in possesso di chi le raccoglie.

Non è solo un caso che fra le società più grandi e potenti al mondo vi siano aziende che hanno fatto dai dati personali e del loro corretto utilizzo un business mondiale (es. Facebook, Amazon, Apple etc) e non è da meno il business generato dalle vendite fondate sui database “consensati”, database creati nel tempo. I soldi spesi in privacy sono pertanto validi investimenti. La privacy può generare profitti, non solo per chi ci lavora ma anche per chi ne applica semplicemente le regole. Investire da subito in privacy significa spendere meno, sfruttare le potenzialità del marketing, evitare duplicati e ridimensionare gli archivi, generare un dialogo trasparente con i propri stakeholders, ridurre tantissimi rischi (es. accessi non autorizzati, sanzioni, indisponibilità dei sistemi) etc.

Vi sono diritti in gioco una volta sola, la privacy con il potere di diffusione amplificata dalla rete può essere uno di questi e non c’è da sottovalutare la potenzialità di un furto incontrollato dei nostri dati: es. i dati biometrici rubati da un sistema di facial recognition potrebbero generare conseguenze e rischi irreversibili.

Investire nella privacy sarà un costo fino a che verrà considerato un di cui degli investimenti (es. tecnologici) e non parte del disegno delle soluzioni che consentono di creare valore sul lungo periodo.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4