Fisco e imprese – La nuova legge sulla privacy

A cura di Francesco Reale, dottore commercialista, revisore legale, consulente Terzo settore, esperto in crisi di impresa e strategie di risanamento (www.centroserviziassociati.it)

82

È diventato pienamente operativo, a maggio di quest’anno, il nuovo Regolamento europeo sulla privacy (già pronto da due anni). L’entrata in vigore è combaciata con uno scandalo – uno dei tanti, ma fra i maggiori per intensità – che ha riguardato Facebook.

Sia i recenti software sia i più nuovi hardware richiedono un pronto adeguamento delle normative a tutela degli interessi generali del cittadino. In particolare, i social network e i cellulari di ultima generazione pongono problemi nuovi a una delle esigenze che comunemente ognuno di noi avverte: la tutela della privacy.

L’Unione europea ha pensato di armonizzare le normative dei Paesi membri con il “GDPR”, un regolamento valido in tutti gli stati dell’Unione. L’aspetto più interessante è il “tipo” di normativa: il legislatore europeo ha ritenuto opportuno adottare un approccio anglosassone nella redazione della normativa, e così abbiamo una legge che non determina degli obblighi (come avviene tipicamente nel diritto romano) bensì tratteggia rischi e responsabilità, comminando sanzioni non per inadempimenti ma per non aver adottato efficaci presidi per scongiurare il verificarsi, in questo caso, della violazione della privacy. È, per dirlo in una parola, il principio di “accountability”, ovvero di responsabilizzazione del destinatario della normativa.

Poco più di un mese fa il legislatore italiano – che non ha fatto in tempo a varare una normativa nazionale prima dell’entrata in vigore del GDPR – ha modificato e integrato il caro vecchio decreto legislativo 196/03 per adeguarlo al Regolamento europeo.

La privacy oggi non è più, nella sostanza, un elenco di obblighi; è un processo che riguarda ogni singola attività. È praticamente indispensabile un consulente privacy, che si affianca ai consulenti per la sicurezza sui luoghi di lavoro, ai tecnici HACCP ecc. Oggi, ogni processo in corso o da realizzare, deve prevedere l’impatto che avrà in termini privacy e il nuovo esperto deve analizzare le attività per valutare i rischi in termini di violazione della privacy. Così nascono i nuovi adempimenti, dal registro alla formazione, fino alla valutazione d’impatto. Vanno riscritti (o adeguati) tutti i contratti con i fornitori che abbiano un impatto sui dati. Non bastasse, le sanzioni sono pesantissime.

Forse gli scandali che hanno riguardato milioni di account violati, da Yahoo a WhatsApp a Facebook, hanno fatto sentire il bisogno di una normativa stringente, lo hanno fatto percepire alla popolazione. Ma, a ben guardare, più che un vantaggio per la tutela dei diritti del cittadino, è stato assestato un colpo forse troppo duro alle aziende che trattano dati, le quali hanno nuovi e penetranti obblighi che forse, in alcuni casi, avrebbero potuto essere risolti con una giusta dose di buon senso.

Francesco Reale