Una delle principali evoluzioni introdotte con il GDPR non è tecnologica ma concettuale: la normative non elenca una serie di accorgimenti tecnici da implementare ma porta le imprese a operare sempre con un occhio alla tutela dei dati, in tutti i loro processi di gestione delle informazioni. È un cambio di passo fondamentale perché "la privacy - ha spiegato l'avvocato Giovanna Ianni dello studio Lexalia a margine di un evento BBTech - non è più un quadratino da smarcare ma entra nel tessuto delle aziende".

Questo è un bene in assoluto ma una complicazione in più per le imprese, che avrebbero certo preferito una "lista della spesa" di adempimenti e che invece ora si trovano a dover ragionare su come davvero gestiscono le informazioni. E molte aziende non hanno certo, negli anni, mantenuto una governance dei dati che permetta loro di avere subito una fotografia esatta e dettagliata dei ruoli e dei processi coinvolti nella gestione dei dati.

D'altronde un approccio diverso da quello concettuale del GDPR sarebbe stato poco efficace. Le norme come il vecchio Codice Privacy, nato nel 1996, hanno dimostrato di non essere abbastanza flessibili da tener testa alle evoluzioni delle tecnologie e soprattutto di come aziende e persone comunicano fra loro.



Ora l'approccio è diverso, basato sul principio della accountability. "È responsabilizzare - spiega Ianni - ciascun soggetto che tratta e gestisce dati personali, con una normativa abbastanza elastica da adattarsi a qualsiasi situazione concreta. Non è il legislatore che dice cosa fare ma il singolo gestore a 'conoscersi' e poi mettere in atto le misure che risultano necessarie per evitare che i dati personali vadano perduti, anche involontariamente, e siano gestiti correttamente".

Passare dallo spirito della normativa alla pratica diventa più complesso, anche perché nonostante gli inviti dell'Unione Europea ci sono ancora molti dettagli da limare nei vari Stati membri. Va attuato localmente un processo di adattamento alla nuova disciplina che in Italia prevede, in particolare, una norma di coordinamento tra il Codice Privacy e il GDPR.

La norma non c'è ancora - deve emanarla il Governo sotto forma di decreti legislativi - ma nel frattempo sono stati emessi provvedimenti intermedi che, spiega Ianni, "in modo poco sistematico inseriscono norme che potrebbero anche essere anticostituzionali, perchè in contrasto con il Regolamento". Insomma una situazione da definire meglio ma che comunque a maggio vedrà il GDPR in vigore, con o senza una (problematica) convivenza con altre norme.



Da qui ad allora è importante, spiega Giovanna Ianni, non vivere il GDPR come una sorta di norma restrittiva e punitiva: "Il GDPR non vieta il trattamento dei dati, l'uso è sempre lecito purché venga eseguito in maniera autorizzata e con un consenso espresso... Spesso si dimentica che le persone sono proprietarie dei loro dati".

Certo l'ambito di azione della normativa si è esteso, ma perché c'era la necessità di ampliare il raggio di tutela stesso dei dati personali (che ora ad esempio comprendono quelli una volta indicati come sensibili). E ci sono nuovi diritti che sono facili da descrivere in teoria ma difficii da realizzare tecnicamente in maniera formalmente corretta, come la portabilità dati personali tra fornitori di servizi diversi.

Ma, di nuovo, la novità principale è la portata concettuale del GDPR. "Il vero motivo per cui bisogna adempiere alla normativa - sottolinea Ianni - è che siamo noi i diretti interessati alla protezione delle informazioni che ci riguardano. Le maggiori sanzioni ci sono, certo, ma è anche vero che le aziende hanno una maggiore discrezionalità. Si dà fiducia alle imprese, che devono capire dove sono le difficoltà del loro business, identificare che dati usano e auto-tutelarsi rispetto alle proprie responsabilità".