24 associazioni imprenditoriali hanno chiesto ufficialmente un cambio di paradigma nell’attuale interpretazione del Gdpr, per armonizzarlo a livello europeo senza frenare imprenditorialitĂ e innovazione
I rappresentanti di 24 associazioni internazionali hanno lanciato un appello affinchĂ© i Garanti privacy dei diversi Paesi Ue intervengano con una revisione del testo relativo al Regolamento generale sulla protezione dei dati. La necessità è prima di tutto quella di tornare a un approccio basato sul rischio come principio guida nell’interpretazione e nell’applicazione del Gdpr. Ciò significa affidare ai titolari del trattamento dei dati personali, ad esempio le imprese, il compito di decidere autonomamente le modalitĂ , le garanzie e i limiti del trattamento dei dati, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.
L’analisi del rischio concernente il trattamento dei dati personali prevede l’inclusione di tutti i diritti fondamentali della persona fisica, che devono essere individuati e stimati secondo considerazioni di carattere oggettivo. Con il termine “rischio” si intende, quindi, uno scenario descrittivo di un evento e delle relative conseguenze, stimate in termini di gravitĂ e probabilitĂ per i diritti e le libertĂ . In ambito Gdpr, il rischio non si riferisce al titolare del trattamento ma alle diverse categorie di interessati coinvolti nelle operazioni di trattamento dei dati personali.
L’appello è stato ufficializzato con un documento, pubblicato in Italia da Corcom.it, che espone la questione a nome di una serie di associazioni imprenditoriali facenti capo a numerosi settori, dalla comunicazione e marketing agli operatori di rete mobile, dai costruttori di macchine agricole a alle farmacie online, solo per fare alcuni esempi. Le aziende europee appartenenti ai vari settori hanno dovuto conformarsi al Gdpr secondo un’interpretazione conservativa che considera solo l’esistenza di un potenziale danno, trascurando la probabilitĂ e la gravitĂ dei rischi e il modo in cui variano tra i settori e nelle diverse attivitĂ aziendali, cui si aggiunge la mancanza di armonizzazione tra i vari Paesi e applicazione coerente. Inoltre, nonostante gli investimenti volti alla piena conformitĂ con il regolamento, molte realtĂ hanno avuto ripercussioni negative sulle operazioni aziendali e sull’innovazione.
Gdpr e regolamenti europei, manca armonizzazione
Nella dichiarazione, i rappresentanti delle varie categorie di settore hanno confermato la consapevolezza che la protezione dei dati è ormai un diritto assoluto, ma insistono sulla necessitĂ , da parte dell’AutoritĂ di regolamentazione, di supportare le aziende, in particolare le Pmi, nell’attuazione del Gdpr, soprattutto attraverso misure tecniche e organizzative piĂą adatte a settori specifici.
Quest’obiettivo potrebbe essere raggiunto grazie all’armonizzazione, nei vari Paesi dell’Ue, del Regolamento anche attraverso un dialogo costruttivo tra le AutoritĂ nazionali e i diversi settori economici e industriali.Â
Nel documento viene proposto, infatti, l’avvio di un dialogo strutturato, supportato da workshop e audizioni davanti sia alle autoritĂ nazionali per la protezione dei dati (Dpa), sia all’European Data Protection Board (Edpb), per comprendere meglio le dinamiche aziendali.
Viene proposto di lavorare, in particolare, su sei punti: (1) i codici di condotta e le certificazioni per giungere a procedure di approvazione semplificate, (2) le richieste di accesso degli interessati (Dsar), (3) gli obblighi di documentazione e informazione, (4) le basi giuridiche per il trattamento dei dati personali, (5) i trasferimenti internazionali di dati, (6) i metodi per l’anonimizzazione e la pseudonimizzazione dei dati. Secondo i firmatari del documento, un ritardo su questo fronte determinerebbe il rischio, per le aziende, di blocco di ogni tipo di trattamento dei dati, mettendo anche a repentaglio le potenzialità delle nuove iniziative nell’ambito della strategia europea sui dati e dell’AI Act.
Nonostante, infatti, il Gdpr e la legge sull’AI rispondano a principi e scopi fondamentalmente diversi, alcune disposizioni si sovrappongono, ponendo dunque, la necessità di identificare gli obblighi contrastanti per evitare ulteriori difficoltà .
Che cos’è il Gdpr e cosa prevede
Il Regolamento generale sulla protezione dei dati (Gdpr, dall’inglese General Data Protection Regulation) disciplina il modo in cui le aziende e le organizzazioni europee trattano i dati personali. Il Gdpr ha influenzato significativamente altre normative sulla privacy dei dati in tutto il mondo e riguarda la conformità di qualsiasi organizzazione che accede ai dati personali delle persone all’interno dell’Ue.
L’obiettivo del regolamento è dare a ogni individuo il controllo sull’utilizzo dei propri dati, tutelando i “diritti e le libertà fondamentali delle persone fisiche”. Con questa finalità sono stabiliti requisiti precisi e rigorosi per il trattamento dei dati, la trasparenza, la documentazione e il consenso degli utenti per le organizzazioni che elaborano dati personali nell’Ue.
In quanto titolare del trattamento, ogni organizzazione deve tenere traccia, e monitorare le attivitĂ di trattamento dei dati personali svolte in via diretta o da terze parti.
L’obbligo per titolari e responsabili del trattamento è essere in grado di rendere conto di tipologie dei dati trattati, scopo dell’elaborazione, Paesi di provenienza e delle terze parti a cui i dati vengono trasmessi.
