GDPR: una sigla insidiosa?
Una riflessione di Luca Albertoni, Direttore Cc-Ti
Da qualche tempo si parla di una sigla ancora poco familiare alle nostre latitudini, il GDPR, che è l’acronimo per Global Data Protection Regulation, cioè il nuovo Regolamento generale sulla protezione dei dati dell’Unione Europea che entrerà in vigore il prossimo 25 maggio 2018, che costituisce un importante cambiamento nel contesto della tutela dei dati personali.
In cosa ciò riguarda la Svizzera? Il tema, complesso e approfondito il 9 aprile in un Business Breakfast organizzato dalla Cc-Ti, è anche in parte legato alla revisione della legge federale sulla protezione dei dati, attualmente pendente davanti al Consiglio nazionale. E come sempre si creano anche voci incontrollate su misure da prendere, rischi, sanzioni ecc. Vediamo di riassumere alcuni punti principali che saranno poi oggetto di vari approfondimenti nei prossimi mesi.
Va detto avantutto che non tutte le aziende svizzere saranno toccate. Di principio la normativa riguarda chi ha una sede anche nell’UE e le aziende svizzere che offrono beni e/o servizi a persone fisiche che si trovano nell’UE. Inoltre, tocca anche l’impresa elvetica che monitora il comportamento nell’UE di persone fisiche che si trovano nell’UE e quella che elabora dati per qualcuno stabilito nell’UE. Non è quindi rilevante se l’azienda svizzera impiega frontalieri o comunque cittadini UE, se ha un sito internet accessibile dall’UE o un indirizzo di posta elettronica a cui ci si può rivolgere da uno stato membro dell’UE. Si può quindi affermare che anche un’azienda svizzera che non mira direttamente alla clientela UE è esclusa dal campo d’applicazione. La normativa necessiterà di parecchie precisazioni, perché tali concetti si prestano evidentemente a interpretazioni diverse, dipendenti dalle circostanze del caso concreto. Va anche detto che taluni aspetti sono comunque già regolati dall’attuale diritto svizzero, benché le esigenze di trasparenza e informazione dovranno essere rafforzate. Chi, dopo avere effettuato la valutazione della propria attività, risulta essere assoggettato alle norme europee, deve tenere conto dell’obbligo di notifica all’autorità entro 72 ore delle infrazioni legate alla protezione dei dati. Questo è il caso per esempio in caso di sottrazione di dati o perdita di un computer portatile che contiene dati sensibili sul disco duro.
Le aziende sono chiamate quindi a organizzarsi in questo senso, perché devono poi poter dimostrare di avere preso tutte le misure necessarie per evitare danni a seguito di atti di pirateria informatica.
Fra le misure organizzative necessarie, pur non essendovi nella maggior parte dei casi l’obbligo formale di avere un delegato alla protezione dei dati (per le aziende con meno di 250 impiegati vi sono numerose deroghe), è importante che venga designato un responsabile incaricato di coordinare la tematica, soprattutto ai fini della dimostrazione che l’impresa ha diligentemente gestito e protetto i dati considerati sensibili, anche per evitare sanzioni che possono essere molto pesanti.
Senza creare allarmismi, è molto importante tenere conto di questa nuova realtà giuridica che, giocoforza, avrà un’influenza considerevole anche sula legislazione svizzera che purtroppo al momento segue gli adattamenti con un certo ritardo. Questo potrebbe creare non pochi problemi alle nostre aziende, che comunque in primis devono tenere conto del diritto nazionale e trovare la via della conciliabilità con il regolamento europeo, laddove esso è applicabile.
Un tema complesso che ci occuperà per molto tempo, visto anche il crescente valore strategico di tutto quanto ruota attorno alla raccolta e alla gestione dei dati.