Siamo quasi arrivati al passaggio tra la tutela della privacy e la data protection, ma solo una su cinque aziende italiane conosce il nuovo Regolamento europeo in materia di trattamento dei dati personali (Gazzetta Ufficiale dell’Ue del 4 maggio 2016; è già in vigore ma sarà vincolante dal maggio 2018). Dal Garante privacy però arriva la rassicurazione di un impatto soft, almeno Unione europea permettendo. È vero infatti che la nuova normativa è già in vigore (anche se diverrà vincolante tra poco più di un anno) e presenta aspetti più stringenti di quella attuale.
Ma la prospettiva nella quale l’Autorità ha intenzione di muoversi è quella di evitare choc di adattamento, verificando quali dei provvedimenti, autorizzazioni, best practices già adottati potranno continuare a essere applicati. Per le pmi e i professionisti, poi, elementi strategici per corrispondere ai nuovi adempimenti di valutazione del rischio e impatto di sistema saranno codici deontologici e certificazioni delle procedure. Una prima approfondita fotografia dello stato dell’arte e una analisi dei prossimi sviluppi in tema di sicurezza e protezione dei dati sono i temi che sono stati affrontati ieri nel corso del convegno dedicato proprio al regolamento europeo al Politecnico di Milano, promosso dall’Osservatorio Security & Privacy. Antonio Caselli, responsabile dell’Unità Documentazione internazionale e revisione del quadro normativo Ue del Garante privacy, rispondendo alle sollecitazioni di Gabriele Faggioli, responsabile scientifico dell’Osservatorio, ha fornito qualche prima indicazioni utile.
“L’Autorità vuole evitare sia uno shock di adattamento che una applicazione burocratica delle nuove regole. Non è una rivoluzione ma una evoluzione. Stiamo valutando se proporre i criteri finora sviluppati in base all’esperienza come linee guida per la valutazione del rischio. Suggerirei anche – in caso di avvio di un nuovo trattamento di dati personali – di applicare già le nuove regole; mentre non ci sarà bisogno di modificare l’approccio per i trattamenti già avviati. Entro l’anno vorremmo pubblicare delle linee guida anche in funzione di semplificazione. Per esempio potremmo pensare a elencare una lista di trattamenti che non sono soggetti valutazione di impatto in relazione al basso livello di rischio che presentano. Le pubbliche amministrazioni saranno tenute invece a nominare il Dpo, Data protection officer. Alcuni tasselli mancanti (articolazione delle sanzioni) richiedono un intervento normativo.
Secondo la ricerca condotta dall’Osservatorio, solo il 27% delle imprese conosce gli obblighi della nuova normativa sulla protezione dei dati personali, appena il 9% ha già avviato un progetto per adeguarsi. In pochi casi è già previsto un budget e sono stati decisi cambiamenti organizzativi (12%). Per Faggioli “c’è ancora una grave mancanza di attenzione alla protezione dei dati personali delineato dalla nuova normativa. Occorre partire già oggi per non giungere impreparati alla scadenza prefissata”.
Fonte: Italia Oggi del 18 gennaio 2017
