Gdpr, sette anni dopo: verso una svolta di buon senso

A sette anni dall’entrata in vigore del Regolamento europeo sulla protezione dei dati, la Commissione Ue lavora a una riforma “sartoriale” che promette meno formalismi e più sostanza. Un cambio di passo atteso da imprese e professionisti, per un equilibrio tra tutela dei diritti e sostenibilità degli adempimenti

0
274
L'ue lavora a una riforma del gdpr

di Luigi Beccaria |

Sono trascorsi sette anni dall’entrata in vigore del Regolamento Europeo n. 679/2016 (vigente dal 25 maggio 2018) in tema di protezione dei dati personali delle persone fisiche: oggi si parla di una possibile e auspicata riforma del Gdpr.

Ricordo come fosse ora che, in preparazione all’evento, descritto dai commentatori dell’epoca come una sorta di “ordigno fine di mondo” sulla scia del Dottor Stranamore di Stanley Kubrick per la pesantezza del fardello burocratico che sarebbe stato lanciato sulle imprese, italiane ed europee, mi preparai specificamente sul punto. Rendendo poi consulenza a una variegata ed eterogenea platea di aziende, di ogni tipo e dimensione.

Sempre in quei tempi, ormai remoti, apparve su questa stessa rivista un mio articolo, ironicamente definibile come reportage, in cui davo sinteticamente conto, anche con connotazioni velatamente umoristiche ma sempre improntate alla descrizione del reale, di alcuni episodi realmente capitati nel corso delle mie visite. Tra cui citavo, ex multis, la birra offertami da un titolare piuttosto naif alle 10 del mattino. E il questionario di compliance sottoposto ai titolari all’interno di una cella frigorifera in mezzo a prosciutti della dimensione di un bambino.

I problemi del primo Gdpr

La lezione che trassi dallo studio della materia sulla carta e dalle visite successive finalizzate alle varie consulenze, e che riportai nell’articolo, si può riassumere come segue:

  1. la normativa persegue finalità giuste, ineludibili in una società contemporanea, con i suoi mezzi di comunicazione, la sua velocità e “liquidità”;
  2. l’approccio, come sovente purtroppo capita all’Unione Europea, risultava però da un lato troppo burocratico, e dall’altro troppo rigido, nel senso che tendeva a uniformare gli obblighi (in sé relativamente gravosi) tanto per società che fanno trattamenti dati molto penetranti, quanto per società di piccola o media dimensione la cui ragion d’essere poco o nulla ha a che fare con i dati personali di terzi.

La congiunzione di questi fattori costituisce, naturalmente con un focus molto più ampio rispetto alla sola normativa privacy (che però, insieme con quella più recente sull’AI, ne rimane uno degli esempi più preclari), una delle ragioni che rende difficile investire nel Vecchio Continente. Venendo considerata, anche dall’alleato americano, una sorta di “barriera in ingresso”.

Riforma del Gdpr: verso un approccio sartoriale

Mi ha pertanto rallegrato leggere che proprio la Commissione Europea sta lavorando a una riforma del Gdpr. Finalizzata a una semplificazione degli adempimenti necessari, connotata da un approccio più sostanziale e meno improntata al formalismo. In questa direzione vanno certamente proposte come l’abolizione dell’obbligo di tenuta del registro dei trattamenti per aziende con meno di 750 dipendenti (adesso sono 250). Salvo che i trattamenti effettuati presentino rischi elevati per gli interessati.

Una proposta di buon senso, che fa salve le ipotesi di trattamenti penetranti (dati cosiddetti “particolari”, di natura medica, giudiziaria, ecc.). Ma che al contempo risparmia alle aziende uno tra i vari adempimenti costosi e più facilmente discutibili in sede ispettiva. Si pensi all’ipotesi in cui il registro non venga aggiornato continuamente, arricchito con nuovi trattamenti, oppure non venga compilato integralmente. La notizia appare promettente non tanto in sé, ma in quanto sembra poter costituire l’avanguardia per una riforma del Gdpr dai tratti più “sartoriali”. Che concentri la sua attenzione (e l’intensità, la qualità e la quantità degli adempimenti) sull’attività effettivamente svolta. E non su parametri disancorati dai rischi sostanziali per gli interessati.

S’intende, poi, che eventuali modifiche in tal senso non dovranno essere lette (né sarebbe certamente nella filosofia dell’Unione) come una deregulation assoluta. Le norme centrali del Gdpr rimarranno valide, rispondono a esigenze che è sacrosanto tutelare, e, a parere di chi scrive giustamente, si applicheranno in modo uniforme in tutti i Paesi dell’UE. Un’eventuale riforma non deve essere letta come un “liberi tutti”, ma come un modo per proporzionare rischi e rimedi.

Lavorare sulla conformità alla normativa

Certamente tutte le aziende, anche micro o piccole imprese, dovranno continuare a lavorare sulla conformità alla normativa. Ricordiamo che non è solo una questione sovranazionale, essendovi anche alcune fonti normative valide specificamente in Italia. Gli interpreti e gli addetti ai lavori dovranno essere bravi a comunicare l’utilità, non solo nell’ottica di evitare multe e sanzioni, ma anche la meritevolezza dei fini perseguiti dalla normativa e dalla sua applicazione.

Alcuni adempimenti sono e restano ineludibili, nonché riconducibili a finalità di solidarietà e buona fede nei rapporti sociali. Si pensi alle informative, previste come obbligatorie dall’art. 13: atteso che l’interessato – per esempio un cliente – conferisce una serie di dati afferenti alla propria sfera privata, come la residenza o il numero di telefono, è doveroso che chi effettua il trattamento sia trasparente nel comunicare a chi, perché ed entro quanto quei dati verranno trasmessi.

Per la stessa ragione è corretto, e continuerà a essere fatto, che le imprese dotino i dipendenti di informative relative alla generalità del rapporto di lavoro. Dunque, quali dati vengono trattati per l’elaborazione del cedolino, tenendo conto degli elementi delicati come prognosi di malattia, composizione del nucleo familiare, retribuzione, ecc. Ma anche relative alle specialità del diritto del lavoro (es. informativa su Gps, eventuali sistemi di videosorveglianza idonei a riprendere l’attività dei lavoratori, ecc.).

Parimenti, in un’ottica di compliance documentale, è corretto che vi siano documenti scritti contenenti le nomine, sia dei soggetti esterni (es. consulente del lavoro e commercialista) che trattano dati riferibili a persone fisiche per conto dell’azienda, sia degli incaricati interni. Ciò anche perché, come spesso si sente dire anche in ambito di sicurezza sul lavoro, da un efficace sistema di deleghe “su carta” può scaturire poi una più efficiente gestione sostanziale dell’organizzazione dell’impresa.

In sintesi, e in definitiva, i presìdi creati dal Gdpr risultano ancora rispondenti alle esigenze di tutela nella società contemporanea caratterizzata da elevata tecnologia. Le riforme aventi a oggetto il “disinnesco” di alcuni degli eccessi burocratici, però, non possono che essere viste con favore da tutti gli operatori.

Avvocato Luigi BeccariaChi è Luigi Beccaria

Laureato in Scienze Politiche e in Giurisprudenza presso l’Università degli Studi di Milano, Luigi Antonio Beccaria svolge attività di avvocato con specializzazione in diritto del lavoro. È abilitato all’esercizio della professione di consulente del lavoro. Dal 2013 opera come docente esterno presso l’Università degli Studi di Milano, svolgendo in particolare attività seminariale e corsi monografici. Dal 2023 è collaboratore de “Il Sole 24 Ore” per cui scrive settimanalmente su “Guida al Lavoro”. Ha pubblicato più di 150 contributi di natura sia divulgativa sia accademica presso vari editori ed effettuato attività convegnistica per numerose società del settore. Svolge attività di consulenza e docenza per primarie società e gruppi, nazionali e internazionali.

RELATED ARTICLESMORE FROM AUTHOR

LEAVE A REPLY

Please enter your comment!
Please enter your name here