Tanto tuonò che piovve, e dopo un iter legislativo durato quattro lunghi anni, alla fine è arrivato il nuovo Regolamento dell’Unione Europea sulla protezione dei dati, che sarà vigente nell’area UE e che in Italia prenderà il posto del “vecchio” Codice della Privacy (Dlgs 196/2003), che a sua volta discendeva dalla Direttiva Madre 95/46/CE, dove le prime due cifre rappresentano l’anno in cui fu emanata: il 1995, un’epoca in cui la maggioranza delle persone si scambiava ancora la corrispondenza con fax e francobolli e la gente leggeva le ultime news la mattina sul giornale.
Con il mercato digitale e l’Internet of Things, gli scenari sono molto diversi da allora, e una riforma generale della normativa sulla protezione dei dati personali era indispensabile per regolamentare i flussi di Big Data che attraversano il pianeta da un estremo all’altro, e per questo era fondamentale conseguire un unico ombrello normativo all’interno dell’UE. Dopo l’accordo politico raggiunto durante i negoziati del cosiddetto “trilogo” del 15 dicembre 2015, la volata finale è stata poi in discesa giungendo al traguardo dell’approvazione del Parlamento il 15 aprile 2016.
Anche se tra le novità più importanti c’è un apparato sanzionatorio molto severo, con multe che potranno arrivare fino a 20 milioni di euro o al 4% del fatturato globale del trasgressore, il rischio più grosso per le aziende italiane è però quello di recepire in modo negativo la nuova normativa sulla privacy, come se fosse l’ennesimo fardello dettato da Bruxelles che ci impone regole su regole, finendo per penalizzare l’economia.
In realtà, sono state finalmente stabilite le regole necessarie per dare ordine al mercato digitale finora dominato dai colossi del web americani, che adesso dovranno invece rimboccarsi le maniche per allinearsi, mentre il vantaggio delle nostre imprese é che sono già abituate ai sistemi giuridici della civil law, e lo sforzo loro richiesto sarà comunque minore rispetto a quello che dovranno fare le multinazionali d’oltreoceano.
Poiché le stime della Commissione Europea valutano che un mercato unico digitale pienamente funzionante potrà apportare fino a 415 miliardi di euro all’anno all’economia dell’area UE, le nostre imprese hanno necessità di acquisire la consapevolezza che il Regolamento sulla protezione dei dati costituisce una grande opportunità per giocare in casa una partita che finora eravamo costretti ad affrontare come se fosse in trasferta, sulla base del principio che “per ciascuno valgono le sue regole”.
Infatti, una delle novità epocali della nuova normativa privacy, è il principio dell’applicazione del diritto UE anche ai trattamenti di dati personali non svolti all’interno del territorio dell’Unione Europea, se relativi all’offerta di beni o servizi a cittadini residenti nella UE, o tali da consentire il monitoraggio dei comportamenti di cittadini dell’UE. In parole povere, se fino ad oggi un utente italiano che acquistava online da un sito web con sede negli USA doveva soggiacere alla legge statunitense, con il nuovo regolamento le aziende americane ed altri soggetti stranieri che si propongono nell’area UE dovranno essi adeguarsi alla nostra normativa comunitaria per non essere sanzionati.
Ecco perché anche l’obbligo di nominare un responsabile della protezione dei dati non deve essere visto dalle aziende come un costo superfluo e una burocrazia inutile, dato che questa sarà una figura di garanzia di cui si dovranno dotare tanto le nostre imprese quanto quelle straniere che operano sul mercato europeo le cui attività comportano trattamenti di dati sensibili su larga scala, o che per la loro natura implicano un monitoraggio regolare e sistematico degli interessati, come nel caso della profilazione online degli utenti.
E come avviene per i privacy officer dei paesi anglosassoni, questa figura potrà fornire consulenza al management per utilizzare correttamente i dati personali nelle proprie attività di business, con la responsabilità di vigilare che l’azienda rispetti effettivamente le regole, e quella di dover fungere da punto di contatto sia con gli interessati che con l’Autorità Garante.
Naturalmente, le imprese dovranno essere molto selettive nel decidere a chi affidare l’incarico di responsabile della protezione dei dati, perché la scelta dovrebbe ricadere su un professionista di elevato spessore, in possesso di adeguate conoscenze giuridiche e skills informatici necessari per mantenere la compliance normativa al Regolamento Europeo, ma che abbia al tempo stesso apertura mentale e competenze trasversali con l’inclinazione al marketing strategico sul modello del privacy officer americano.