Gdpr, l’ultima mazzata dell’Europa sulle imprese con la scusa della Privacy
Dal 25 maggio 2018 scatta l’obbligo per aziende e professionisti di adeguare le policy sul trattamento e la protezione dei dati personali dei cittadini alla nuova normativa Gdpr, la General Data Protection Regulation, il nuovo regolamento comunitario che l’Europa ha imposto agli Stati membri. Il Regolamento si applica a tutte le imprese operanti sul territorio europeo, quindi anche alle imprese straniere che operano in Europa.
Il caos regna sovrano. Perfino il Garante italiano della Privacy sembra impreparato al passaggio. Tant’è che sul proprio portale rinvia goffamente al sito del Garante francese della Privacy per ciò che concerne la Dpia, la valutazione d’impatto dell’adeguamento alla nuova normativa consigliando ai cittadini di scaricare e utilizzare un software transalpino anziché uno italiano che, appunto, non è mai stato messo a punto dall’Italia. Eppure sono due anni che si parla di questa scadenza del 25 maggio 2018.
Molta confusione, dunque per l’adeguamento a questa Gdpr. Molto pressapochismo. E pochissime certezze. Una è la notevole stangata che l’Europa dà alle imprese e ai professionisti. Adeguarsi costerà alle imprese, hanno calcolato alcune associazioni di categoria, almeno 2 miliardi di euro alle circa 4 milioni di piccole e medie imprese italiane, costrette a sostenere costi aggiuntivi per stare al passo con una norma burocratica la cui applicazione, sostiene Confesercenti tirando certamente l’acqua al suo mulino, «non porta alcun vantaggio effettivo ai cittadini».
Non è, naturalmente, così. Come dimostra l’ultima vicenda delle violazioni compiute da Facebook e da Cambridge Analytica, si era toccato davvero il fondo. Ma, c’è da scommettere, che chi ha violato, per esempio, con lo spamming, gli account di milioni di persone in questi anni, continuerà a farlo tranquillamente. L’idea che ora con la bacchetta magica del Gdpr, la Ue cambi davvero le carte in tavola, è un’illusione e nulla di più.
La Confesercenti, che chiede al governo di intervenire con urgenza sulla questione Gdpr, stima, in maniera «estremamente conservativa» una «spesa di 500 euro ad impresa, il minimo per l’istituzione e la tenuta del registro dei dati personali e per la redazione della nota informativa».
Ma l’associazione assicura che «saranno moltissime le Pmi che sborseranno molto di più, a seconda della tipologia di attività e del numero di dipendenti e clienti di cui si devono conservare le informazioni». Alcuni studi professionali hanno già ricevuto proposte commerciali per adeguarsi che oscillano fra i 3.000 e i 6.000 euro. E da queste cifre, già proibitive, sono esclusi i costi di hardware e software specialistici come antivirus e firewall. Così come la certificazione delle reti informatiche aziendali e l’acquisto di eventuali supporti di backup, obbligatori per legge. Tutti costi che finiranno, inevitabilmente, sulle spalle dei cittadini.
Se i dati riguardano oltre le 250 persone fisiche ci si dovrà anche dotare di un cosiddetto Dpo, il Data Protection Officer, un consulente responsabile esterno del trattamento dati che può costare fino a 5.000 euro l’anno. Un conto «decisamente troppo salato per una norma che era nata per limitare gli eccessi dei giganti di Internet e della telefonia, ma che – secondo Confesercenti – è finita per applicarsi anche a ditte individuali e a piccole imprese come ristoranti, bar e parrucchieri, che pagheranno multe salate in mancanza di un adeguamento».
«Molti clienti sono in difficoltà – conferma il dottor Simone D’Ambrosi, titolare di uno studio associato di commercialisti – perché dovranno sostenere costi aggiuntivi pur se proprietari di attività di poco conto». Insomma il Gdpr si prefigura come l’ennesimo balzello su imprese e professionisti.
Chi sbaglia o sgarra, infatti, rischia mazzate veramente pesanti. Sono previste sanzioni amministrative notevoli ma, anche, penali. Le sanzioni amministrative possono arrivare fino al 4 per cento del fatturato globale o a 20 milioni di euro . E possono essere inflitte tanto a persone fisiche quanto a soggetti giuridici privati o pubblici. I più a rischio sono i titolari e i responsabili del trattamento dati, i Data Protection Officer.
Neanche sul versante penale si scherza: il trattamento illecito dei dati prevede oggi pene che variano da sei mesi ai 18 mesi di reclusione. E si può arrivare, ricorrendo alcune condizioni specifiche, persino ai 3 anni di reclusione. A questo si possono aggiungere, poi, eventuali pene dai 6 mesi ai 3 anni di reclusione per falsa dichiarazione di fronte al Garante privacy.
Il Gdpr – ed è questo il maggior problema – ha ribaltato la filosofia corrente: ora sarà chi tratta i dati a dover dimostrare in maniera concreta e incontrovertibile di averli ottenuti dagli utenti in maniera volontaria e di aver fatto tutto il possibile per proteggerli, in ogni maniera, da perdite casuali o attacchi hacker. Per questo, a livello informatico, chi vorrà essere compliance al Gdpr dovrà dimostrare di aver messo in atto tutte le protezioni possibili. Tutti i sistemi informatici aziendali devono essere obbligatoriamente aggiornati alle più recenti versioni software e firmware, si dovrà dimostrare, per scampare eventuali sanzioni, di aver acquistato e installato correttamente sui sistemi informatici, a protezione dei dati che si detengono, antivirus perimetrali, non gratuiti, e sistemi firewall.
Il cittadino ha in mano, da domani, teoricamente, due armi: potrà contattare direttamente l’organizzazione che detiene i suoi dati e che è tenuta a rispondere alla richiesta in tempi brevi e gratuitamente, chiedendo la cancellazione dei dati, l’aggiornamento o la portabilità. E può, anche, presentare un reclamo al Garante per la protezione dei dati personali, che è l’autorità nazionale incaricata, o rivolgersi a un Tribunale. In teoria se non si vuole più ricevere pubblicità di prodotti e servizi che non interessano si può ora chiedere di essere rimossi dalle liste di marketing dell’azienda che le invia. Ma è certo che chi fa spamming, chi ci massacra di telefonate tutti i santi giorni proponendoci questo o quel contratto per la telefonia, il gas o la luce, e chi vive di questo, come le tante società di email marketing, non si farà spaventare dal Gdpr. né dalle sanzioni. Basta ricordare come si sono comportati i gestori telefonici come Tim, Vodafone e e Wind Tre con le bollette a 28 giorni di fronte agli altolà e alle multe comminate dal Garante della Concorrenza e del Mercato.
Non è solo una mazzata sulle imprese ma anche sui disoccupati in cerca di lavoro perché potranno farlo solo attraverso Internet o agenzie del lavoro. Non è più possibile consegnare a mano il curriculum cartaceo in azienda se questa non è alla ricerca di personale!