Il Gdpr (General Data Protection Regulation) è un regolamento comunitario. Come ormai molti sanno – o dovrebbero sapere – il dispositivo, che entrerà in vigore il prossimo 25 maggio, disciplina il trattamento e la protezione dei dati dei cittadini europei in possesso delle aziende pubbliche o private e dei cittadini che trattano dati connessi a una loro attività commerciale o professionale. Il Regolamento si applica non solo alle aziende del Vecchio continente, ma a tutte le organizzazioni che a vario titolo e a prescindere dalla loro collocazione geografica conservano informazioni relative ai propri clienti europei.
Se il recepimento della nuova legge è già materia ostica per i nostri mercati, tutto sommato abituati a un concetto di privacy piuttosto stringente, il Gdpr costituisce per le aziende che arrivano da altri contesti culturali – basti pensare agli Stati Uniti – una vera e propria rivoluzione. Il problema è che molte organizzazioni non sembrano nemmeno essere bene al corrente di cosa implichi l’introduzione della norma. Stando ai risultati di una ricerca Vanson Bourne – promossa da WatchGuard Technologies e condotta su più di 1.600 imprese in tutto il mondo (di cui 200 in Italia) – addirittura il 37% del campione non sa se la propria azienda debba o meno sottostare ai criteri di conformità del Gdpr, con più di un quarto (il 28%) che crede di non essere coinvolto. Eppure, tra coloro che pensano che il regolamento non investa la propria organizzazione, il 14% raccoglie dati personali di cittadini europei. Emerge quindi non solo una generale scarsa consapevolezza circa l’impatto della norma, ma anche una cattiva interpretazione di quali tipi di attività devono rispettare i principi del Gdpr.
“Innanzitutto bisogna precisare che qualsiasi azienda extra EU che entra in contatto con dati di cittadini europei e offre a essi beni o servizi o monitori il loro comportamento deve sottostare integralmente al regolamento. Ovvero è inclusa la startup indiana che ha creato una mobile app distribuita in Europa come la piccola struttura alberghiera alle isole Figi che accoglie turisti provenienti dall’Unione e che ha un sito web che permette il pagamento in euro e l’offerta del servizio in una lingua abitualmente utilizzata in uno o più Stati UE”, spiega Matteo Colombo, Amministratore delegato di Labor Project, realtà specializzata nell’assistenza e nella formazione sui temi della privacy e della compliance normativa, nonché Presidente di AssoDPO, l’associazione nazionale che tutela e promuove la professione del Data Protection Officer. Questo significa che anche imprese di taglia estremamente piccola avranno non solo tutto l’interesse ad attrezzarsi sul piano informatico per garantire la protezione delle informazioni in possesso – fosse anche solo il domicilio di un cliente europeo – ma anche a nominare, all’interno di un Paese dell’Unione nei casi indicati dall’art.27 Gdpr, un rappresentante che funga da interfaccia al soggetto preposto al controllo della compliance, ovvero l’Autorità Garante nazionale in materia di tutela della privacy. “L’alternativa contemplata dal Gdpr”, continua Colombo, “è aprire una stabile organizzazione sul territorio di uno dei ventotto Stati membri, ma è evidente che la convenienza nello scegliere questa opzione sia esclusivamente per le multinazionali che ancora non hanno una sede europea”.
La nomina di un rappresentante all’interno di un Paese membro è di fatto una scelta obbligata in alcuni casi, come su larga scala di dati particolari: in assenza infatti di un interlocutore designato, nel momento in cui fosse riscontrata un’anomalia rispetto a quanto prescritto dal Gdpr, l’azienda potrebbe dover affrontare le iniziative di tutti Paesi i cui garanti hanno denunciato una violazione e incorrere in una sanzione. “Resta da capire quale sarà il principio di attribuzione del Paese in cui far valere la giurisdizione”, precisa Colombo. “Non si tratterà di una decisione che la Commissione lascerà alle aziende, col rischio che scelgano Paesi dove l’interpretazione del regolamento è più elastica”. Secondo l’ad di Labor Project, un criterio per l’attribuzione potrebbe essere l’ampiezza dei mercati in cui è attiva l’impresa extracomunitaria in questione: laddove ci sono più clienti, quello sarà il Paese in cui la Commissione autorizzerà la creazione del punto di contatto tra garante e azienda. La quale,in alcuni casi dovrà dotarsi anche di un Data Protection Officer.
Le piazze extra UE che a giudizio di Colombo saranno più impattate dall’introduzione del Gdpr sono la Svizzera, gli Stati Uniti, la Cina, la Russia e l’India, oltre naturalmente alla Gran Bretagna, quando scoccherà l’ora dell’attuazione della Brexit. “Per gli americani in particolare c’è voluto un bel po’ prima di comprendere appieno la portata del regolamento, vista la concezione della privacy che vige negli States, ma ora c’è molta più consapevolezza”, dice Colombo. “In Paesi come la Svizzera e la Gran Bretagna, che dovrebbero adeguare il proprio impianto normativo al Gdpr, la transizione non dovrebbe essere troppo complessa, mentre la Russia è addirittura più avanti, avendo già una legge attrattiva simile al regolamento europeo, tant’è vero che un’azienda che voglia trattare i dati di cittadini russi, in casi specifici,deve dotarsi di server all’interno del territorio nazionale”.
Si tratterà comunque di un passaggio non semplice, e costituirà una enorme opportunità di business per i grandi studi legali europei, e quindi anche italiani, che offrono alle imprese servizi di rappresentanza e consulenza come quelli previsti dal Gdpr. Anche Labor Project riuscirà a ritagliarsi un ruolo in questo nuovo spazio: “Per noi è un’occasione di crescita importante, seguiamo già società americane e svizzere, con le quali contiamo di collaborare a stretto contatto”, precisa Colombo, che aggiunge: “In questo contesto sarà però fondamentale fare squadra, lavorare di concerto attraverso l’associazionismo a livello internazionale, prima di tutto per porgere al mercato un orecchio più attento e poi per uniformare e strutturare policy armonizzate che ci serviranno a indirizzare le aziende ai consulenti che in ciascun Paese possono rispondere con maggiore efficacia alle loro specifiche esigenze”.
