La norma sulla protezione dei dati personali, oltrepassato il primo anno di piena attuazione ha superato la prima delle prove e forse la più importante: Tutti si sono misurati con il GDPR, hanno compreso l’importanza della normativa dell’Unione europea e si sono adoperati per la sua diffusione anche culturale, complessa ma piena di spunti. Il GDPR ha reso la protezione dei dati un tema non più solo per tecnici, ma di tanti grazie anche all’impatto che ha sul digitale e alla rilevanza che questo riveste nella vita di tutti i giorni. Il decreto di adeguamento al GDPR ha attribuito al Garante per la Protezione dei Dati Personali strumenti adeguati per garantire a tutti l’applicabilità del Regolamento, che è diventato un modello nel mondo.
Gli step successivi saranno gli adeguamenti perché diventi un fattore competitivo e l’impiego a tutti i livelli della Pubblica Amministrazione. Giovanni Buttarelli, colui che ricopriva la carica di Garante Europeo della Privacy, poco prima della sua scomparsa avvenuta ad agosto di quest’anno, diceva che Il GDPR “ha resistito molto bene all’onda d’urto, anche sopra le aspettative” e va considerato come “uno strumento di partenza, non uno strumento di arrivo. Il nuovo Regolamento non va burocratizzato, anzi deve coinvolgere le startup che realizzano soluzioni di privacy by design e by default per aiutare cittadini e imprese”. Il suo successore di recentissima nomina, il polacco Wojciech Wiewiórowski nel discorso con il quale ha assunto il ruolo di nuovo Garante europeo della protezione dei dati (GEPD) ha definito questa una “piccola ma incredibilmente importante istituzione. Con la nuova legislazione Ue la nostra attenzione deve rivolgersi per garantire che queste regole siano applicate in modo equo e che gli europei abbiano il controllo dei propri dati”. Il GEPD collabora inoltre con le autorità di controllo nazionali e altri organi di controllo per migliorare la coerenza nella protezione delle informazioni personali.
In Italia la formazione secondo molti DPO è ancora lacunosa, eppure questa è espressamente richiesta come parte integrante dello stesso regolamento europeo, laddove si richiede ai DPO di aderire ai profili dell’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo. Un importante fornitore di soluzione per la cybersecurity Check Point Software Technologies ha condotto una ricerca tra oltre mille responsabili d’azienda in Francia, Italia, Germania, Spagna e Regno Unito e il 75% di loro ritiene che il GDPR abbia avuto un impatto positivo sulla fiducia dei consumatori, mentre il 73% afferma che questo abbia incrementato la sicurezza dei dati personali. Ma soprattutto circa due terzi (60%) degli intervistati afferma che la propria azienda ha adottato tutte le misure previste dal GDPR, mentre solo il 4% deve ancora iniziare il processo. Per quanto riguarda l’Italia il 71% degli intervistati afferma di aver adottato le misure del GDPR appieno, il 28% ha familiarizzato con la maggior parte delle linee guida e solo l’1% ha appena iniziato il processo di attivazione.
In linea generale per le compliances sono stati compiuti progressi notevoli in tutta Europa, grazie a diverse iniziative: è fatto piuttosto consueto nelle aziende l’istituzione di un team dedicato al GDPR, mentre in Italia più della metà delle imprese disponeva già di un team del genere prima dell’implementazione del Regolamento; altro fattore notato e’ che molte organizzazioni hanno assunto consulenti sul Gdpr e hanno stanziato un bilancio per coprire i costi di attuazione.
Nel settore della PA c’è anche chi si è spinto oltre come l’Universita’ di Milano Bicocca dove è stata creata una rete di Referenti, uno per ciascuna struttura dell’Ateneo, sia UOR sia Dipartimenti, individuati per affiancare il DPO e collaborazione con esso per rendere attività, processi e affari GDPR compliant. Nel rispetto del principio di accountability si è ritenuto di preminente importanza garantire una adeguata formazione al personale autorizzato al trattamento, consentendo un aggiornamento professionale a tutte le figure operanti e uniformità ai processi. Sono stati creati dei corsi di formazione in house, due dei quali sono stati predisposti per il personale dell’Ateneo: il primo di taglio normativo e l’altro di taglio applicativo; uno diretto invece a sensibilizzare sul tema gli studenti. Tutti i corsi sono stati somministrati tramite piattaforma e-learning. E’ un caso pilota che indica una strada da perseguire soprattutto in considerazione che dal mese di Giugno a rafforzare il Regolamento è arrivato anche il nuovo Codice di condotta per il trattamento dei dati personali in cui tutti i soggetti operanti nel settore relativo alle attività di informazione commerciale si impegnano al rispetto dei diritti, delle libertà fondamentali e della dignità delle persone interessate, in particolare del diritto alla protezione dei dati personali, del diritto alla riservatezza e del diritto all’identità personale.