Forum Gdpr

Cinque principi del GDPR da non dimenticare

Il nuovo Regolamento è spesso al centro di preoccupazioni e incomprensioni, ma bisogna tenere presenti i principi di base da cui è nato

Autore: Giulio Vada

Siamo arrivati alla fatidica scadenza del GDPR e in questi giorni il livello di preoccupazione delle aziende è progressivamente aumentato. È indubbio che il GDPR rappresenti un problema in più per molte imprese, ma le critiche che lo hanno colpito non tengono sempre conto di alcuni principi fondanti del Regolamento. Che invece sarebbe bene avere sempre presenti.

Il GDPR non nasce per caso

Il GDPR non è una norma che nasce dal nulla o semplicemente dalla volontà di aggiornare leggi esistenti. Deriva dall'affermazione del concetto della protezione dei dati personali come diritto fondamentale. Questo concetto sembra scontato ma non lo è. E investe campi molto più ampi della sola IT.
Prima del nuovo Regolamento, già altri trattati europei avevano sancito il diritto alla tutela delle informazioni personali, il GDPR ne è la conseguenza a livello normativo, perché non esisteva alcuna legge univoca in materia ma solo una pluralità di norme nazionali. Da qui anche la necessità di definire un Regolamento, e non una Direttiva, che avesse un potere cogente immediato.
Molti vedono il GDPR come una imposizione e un costo, in realtà ha un senso logico che segue un processo naturale per le legislazione europea. Un elemento a cui non tutti prestano la dovuta considerazione è che con il GDPR si chiude un ciclo ideale, sancendo il diritto alla libera circolazione dei dati dopo quello delle persone e delle merci.
eurohpc

La complessità deriva dal mercato

Il GDPR è una normativa complessa, certamente. Ma questa complessità deriva dalla necessità di arrivare a una norma che rispecchiasse i cambiamenti tecnologici e culturali che sono intercorsi in questi ultimi anni. Una norma più prescrittiva sarebbe stata più chiara e semplice da seguire ma l'attuale estrema digitalizzazione impedisce approcci prescrittivi classici, è stato più opportuno scegliere un approccio incentrato sui concetti di rischio e di accountability.
Concettualmente il Regolamento prende atto di un mondo sempre più incentrato su una data economy che richiede di incrementare e consolidare la fiducia dei cittadini verso il mercato digitale. Oggi invece la percezione comune è diversa, si vede Internet come un mondo non sicuro e questo si estende progressivamente a tutta l'economia digitale. Il GDPR interviene proprio per ristabilire una fiducia tra chi eroga servizi digitali e chi ne fruisce. In questo senso non dovrebbe essere criticato ma visto come un fattore di rilancio dell'economia digitale, che favorisce un nuovo mercato digitale europeo aumentando il livello medio di sicurezza dei servizi che lo popoleranno.

Il GDPR farà la differenza

Il GDPR è in prospettiva anche un fattore di differenziazione e di competitività, come lo sono state altre norme inizialmente vissute in modo negativo, ad esempio la ISO9001. Nella scelta dei propri fornitori si terrà sempre più conto della loro compliance al GDPR, come oggi un'azienda difficilmente sceglierebbe un fornitore non certificato per norme come appunto la ISO9001. Il principio di accountability infatti finisce per estendersi oltre il perimetro aziendale a comprendere tutta la supply chain. Pensiamo a cosa accadrebbe se subissi una "data breach" non per mia responsabilità diretta ma per colpa di un'app mobile mal sviluppata da un mio fornitore.
La conformità al GDPR sarà quindi un elemento di benchmarking che avrà impatti importanti in tutti i mercati. I primi segnali in tal senso li stiamo già vedendo.
euro 1605659 1280

I processi, non i dati

A molti sfugge un elemento importante: l'oggetto del GDPR non è la protezione dei dati in sé, bensì la protezione dei loro trattamenti. La normativa quindi ruota intorno ai processi, non alle informazioni in quanto tali. Queste in fondo non hanno bisogno di ulteriore attenzione: le norme che le riguardano erano già adeguate e tecnologie efficaci di protezione già ci sono. I processi di gestione dei dati, quindi il "dietro le quinte" dei servizi e delle transazioni online, invece imponevano una nuova attenzione.
In questo senso il GDPR certamente richiede investimenti, ma migliorare i propri processi di gestione delle informazioni serve allo sviluppo delle imprese. Il GDPR diventa quindi una leva di politica industriale.

Le sanzioni non sono tutto

È stata data una forte rilevanza, anche mediatica, alle sanzioni previste dal GDPR. Queste però sono state pensate come deterrente per i big del digitale, più in generale le autorità di controllo non hanno interesse a comminare multe salate non appena è possibile, entra in gioco la discrezionalità che la norma stessa prevede.
Peraltro, le multe non sono l'unico strumento a disposizione delle Authority e nemmeno quello più efficace. Ad esempio, di fronte a una violazione può essere chiesto a un'azienda di intervenire sui suoi sistemi informativi per renderli compliant al GDPR. Un'operazione del genere è decisamente più complessa e anche costosa rispetto alla semplice sanzione economica, che a questo punto diventa quasi irrilevante.

Giulio Vada è Country Manager di G Data Italia