Con l’entrata in vigore del nuovo Regolamento europeo generale sulla protezione dei dati, il prossimo 25 maggio, l’approccio delle organizzazioni alle problematiche privacy subirà un profondo mutamento. In generale, la portata dei cambiamenti previsti è sostanziale su più piani; ma, per quanto qui interessa, il Regolamento rovescia in particolare la prospettiva che aveva caratterizzato la precedente disciplina ed impone alle aziende e agli operatori sul mercato un approccio “preventivo” ai problemi relativi alla sicurezza dei dati. Il “privacy breach” non potrà essere più (solo e soltanto) un problema a cui guardare ex post, una volta avvenuto. La privacy dovrà divenire parte integrante delle dinamiche aziendali, fondersi nei processi di sviluppo e lancio di nuove tecnologie, prodotti, servizi.
L’inversione di rotta, rispetto al passato, è segnata dal “fil rouge” che attraversa l’intero impianto del Regolamento e che lega i vari istituti in esso contenuti: un principio di responsabilizzazione, per cui è il titolare del trattamento in primo luogo ad essere tenuto a dimostrare la conformità con gli obblighi legali a proprio carico. E dunque, l’integrazione della protezione dei dati in tutti i processi e nella cultura stessa della propria organizzazione.
Le misure offerte dalle nuove norme a tal fine sono molteplici e spaziano dal mantenimento di un registro scritto contenente tutte le operazioni relative ai dati (ispezionabile su richiesta dagli organi di controllo), all’adozione di meccanismi e procedure per il monitoraggio e la verifica della conformità (es., audit periodici). Da misure volte alla sensibilizzazione del proprio personale circa le questioni legate alla tutela dei dati (es. training), all’adozione dei principi della privacy by design (volto a far sì che i principi di protezione dei dati siano presi in considerazione sin dalle fasi inziali dell’ideazione di nuove tecnologie, prodotti, sistemi) e della privacy by default (la protezione della privacy deve essere adottata di default).
Non v’è dubbio che protagonista attivo e passivo di questa rivoluzione a tutto tondo sarà (anche e non solo) lo studio legale, a causa della grande quantità di dati personali e sensibili trattati e conservati dai professionisti del settore. In quest’ottica, si renderà senza dubbio necessaria all’interno delle varie strutture un’attenta costruzione sia del modello di gestione dei dati, sia del sistema di conservazione degli stessi, per conformarsi alle nuove norme e principi a cui prima si accennava. Ma la rivoluzione imporrà in particolare agli studi l’implementazione di tecniche di risk-management, imprescindibili a fronte dei nuovi obblighi europei. Basti pensare al fatto che tutte le organizzazioni interessate dal Regolamento dovranno condurre un’analisi dell’impatto delle norme sulle proprie attività imprenditoriali e che i progetti a rischio elevato dovranno essere corredati da uno specifico privacy impact assessment, ovvero una valutazione degli eventuali rischi legati alla privacy prima dell’inizio di qualsivoglia trattamento.
Solo mediante una diligente attività di risk-assessment, lo studio potrà individuare e circoscrivere la quota di rischio a cui è possibile porre rimedio a livello interno (rischio inerente), per mezzo dei vari strumenti offerti dalla disciplina comunitaria, e quella quota di rischio che, invece, risulta ineliminabile (rischio residuo), e che pertanto può essere trasferita sul mercato assicurativo.
Assicuratori globali come AIG offrono soluzioni di gestione a 360° gradi del rischio informatico, che aiutano il cliente già dall’attività di risk-assessment and awareness e, quindi, nella gestione della crisi derivante dalla scoperta di minacce alla sicurezza dei dati, garantendo, fra le altre cose, il risarcimento di eventuali conseguenti danni a terzi nonché l’indennizzo del danno proprio (perdita di marginalità) conseguente all’indisponibilità dei sistemi informatici a seguito di violazioni della sicurezza.
Ludovica Zocchi e Michele Lavaggi
AIG