Uno degli interventi “autorevoli” che più ho apprezzato sull’argomento è stato quello di Elizabeth Denham, “Commissario per l’Informazione” in Inghilterra, l’equivalente del nostro Garante della Privacy, fatto negli ultimi giorni, che qui riporto per sommi capi.
“Non tutto quello che leggete o sentite sul GDPR è vero“.
Segue un elenco di punti per “distinguere i fatti dalla finzione”.
Mito 1: “La più grande minaccia per le aziende sono le pesanti multe”.
Il fatto: “Si tratta di mettere al primo posto il consumatore, il cittadino”.
Mito 2: “Devi avere il consenso della persona per trattare i suo dati”.
Il fatto: “Il GDPR ha alzato la sbarra per gli standard legati al consenso, che non è l’unica forma di base giuridica per poter trattare dati personali”.
Mito 3: “Non posso iniziare a pianificare nuove regole per il consenso finché il Garante non pubblica una guida formale”.
Il fatto: “Sono già presenti linee guida per la gestione del consenso e le altre basi giuridiche per trattare i dati, non è necessario attendere una “guida definitiva” che probabilmente non arriverà mai…”.
Mito 4: “Il GDPR è un onere inutile per le Aziende”.
Il fatto: “Questo regolamento è un’ evoluzione di un percorso già intrapreso da anni, non una rivoluzione”.
Mito 5: “Ogni violazione dei dati deve essere riportata al Garante”.
Il fatto: “E’ necessario solo se la violazione può essere un rischio per i diritti od una minaccia per la libertà della persona”.
Mito 6: “Tutti i dettagli della violazione devono essere comunicati non appena possibile”.
ll fatto: “Entro 72 ore il Garante deve essere portato a conoscenza di una violazione che può colpire i diritti o la libertà di una persona. Non tutti i dettagli sono necessari subito, ma il Garante vorrebbe conoscere la portata potenziale e la causa della violazione e come si ha intenzione di procedere per affrontare il problema”.
Mito 7: “Se non si fa in tempo il rapporto sulla violazione ci saranno multe enormi”.
Il fatto: “Le sanzioni saranno proporzionate e non emesse ad ogni violazione”.
Mito 8: “La notifica della violazione dei dati è l’unico interesse degli organi di polizia”.
Il fatto: “La segnalazione delle violazioni non vuole solo essere uno strumento di politica pubblica, ma anche una fonte per acquisire tendenze e problematiche, con il fine ultimo di spingere le aziende ad essere meno vulnerabili sul fronte della sicurezza”.
Mito 9: “L’adeguamento al GDPR è un obiettivo fisso nel tempo, come il “Millennium Bug””.
Il fatto: “Il cambiamento spesso crea incertezza, è comprensibile. Ma alcune delle paure sono radicate nell’allarmismo causato da idee sbagliate o dal tentativo di vendere soluzioni “standard”. L’adeguamento al GDPR sarà un viaggio continuo…
…e allora? Partiamo!