I commentatori sembrano apprezzare il GDPR: le società di consulenza pensano alla grande mole di sevizi che le aziende dovranno chiedere; i fornitori di tecnolgia si mettono in scia. Ma proprio questo è il punto: grandi banche e assicurazioni, operatori B2C internazionali, compagnie di telecomunicazione, internet companies, questi sono i soggetti che ci si aspetta lavorareanno per essere conformi. O saranno obbligati a farlo.
Questo però è, nonostante tutto, solo una parte del mercato. E il resto? Cosa dire delle micro, piccole e medie imprese?
Si potrebbe dire:in passato le PMI non hanno avuto un grande impatto, il quadro potrebbe rimanere lo stesso, quindi, nessun problema. Forse, ma oggi la situazione è comletamente diversa, confrontata a quella di dieci, quindici anni fa: non c’era FB e non c’er l’I-phone allora, né big data o cloud. La rivoluzione digitale era agli inizi e l’impatto principale sulle PMI era il budget per un sito web statico.
Oggi, la protezione dei dati è un concetto chiave per la sopravvivenza stessa del mercato digitale. Prootti e servizi sono progettati, sviluppati e ditribuiti attraverso una value chain strettamente interconnessa e basata su cloud, mobilità, reti digitali e condivisione di informazione. L’intera organizzaizone sociale dipende da questo: anche le stess elezioni americane possono essere duramente colpite dall’attacco di hackers.
Le PMI sono un pezzo di questo quadro, completamente e profondamente. Per questo nessuno può sottovalutare il tema di come applicheranno il GDPR.
Il GDPR rende il Titolare accountable del raggiungimento delle finalità del GDPR stesso di prteggere i diritti e le libertà degli interessati e di essere capace di dimostrarlo. Per fare ciò è necessaria una organizzazione complessa, non solo risorse finanziarie. In larga misura, però le PMI sono ricercate proprio perchè non sono complesse ma veloci, reattive, senza burocrazia. Così il compito sembra proibitivo.
Fortunatamente, sembra che i legislatori fossero conaspevoli di questa contraddizione. Gli articoli 40 e 41 introducono e regolano i codici di condotta cme uno strumento per permettere una strada più semplice e meno onerosa per la compliance delle PMI.
Molti “considerando” e molti articoli stabiliscono che se il Titolare o il Responsabile aderiscono ad un Codice di Condotta, allora possono essere considerati conformi al Regolamento, la loro esposizione risulta ridotta e così via.
Che cos’è un codice di condotta? IN qualche modo è una versione sempificata del GDPR per uno specifico insieme di Titolari che hanno lo stesso profilo, per quanto riguarda il trattament di dati personali. E’ la sharing economy nell’ambito della compliance. La comliance condivisa: meno costi, meno complessità, risultati di qualità. Potenzialmente.
Chi deve sviluppare i Codici di Condott?
“Le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possono elaborare i codici di condotta” cioè il processo di svillupare i Codici è in mani private che sono sotto il controllo o l’influence dei Titolari coinvolti.
Non voglio andare oltre, in questa sede: un convegno su questo tema, organizzato da Clusit e Europrivacy.info, si è tenuto a Roma la scorsa settimana, con la partecipazione del Garante. Solo rimarcare che il GDPR ha ben indentifiacto il problema delle PMI in un mondo digitale interconnesso ed ha suggerito una soluzione possibile che può funzionare. Adesso sta alle associazioni e gli altri organismi rappresentanti di giocare il proprio ruolo. Nell’interesse di tutti noi. E’ interesse anche delle società di consulenza, dei vendor ti tecnolgia e delle PMI stesse: per questo forse funzionerà.
molto interessante. il tema dei codici di condotta e delle certificazioni sono due aspetti del GDPR talmente innovativi che nessuno sa ancora bene di cosa si tratti. non sapevo del convegno di roma, vedremo gli atti e/o qualche video sul sito?