Come valutare economicamente l’impatto della GDPR

Quali sono i vantaggi economici per l’imprenditore che investe per adeguarsi alle nuove norme in tema di protezione dei dati personali

Può non sembrare immediato e costituire anzi un paradosso: investire denaro sulla privacy in tempi in cui i nostri dati personali circolano alla velocità della luce e siamo esposti (più o meno consapevolmente)  ogni giorno nelle piattaforme social.

Ed invece il trattamento dei dati personali sicuramente incide in maniera vantaggiosa sul bilancio societario del Titolare del trattamento.

Ebbene si; i costi che possono essere inizialmente richiesti per iniziare il percorso di compliance ha senza dubbio un riflesso positivo sull’azienda, in grado di poter vantare, una volta terminato, una forte “web reputation” rispetto agli altri competitor. 

Il nuovo Regolamento UE 679/2016 ha infatti comportato una vera e propria rivoluzione per tutte le aziende, chiedendo uno sforzo al Titolare di investire una parte del proprio budget aziendale per poter compiere l’allineamento alla nuova normativa europea.

Naturalmente l’applicazione del GDPR non impone parametri standard e uguali per tutti.

L’investimento che inizialmente deve essere messo in conto dal datore di lavoro (dalla scelta del consulente, all’implementazione delle misure di sicurezza, passando per l’organizzazione della formazione dei propri lavoratori) può essere anche medio-alto ma sicuramente la sua attuazione porterà benefici in termini di organizzazione, razionalizzazione dei processi e reputazione aziendale.

Permea l’argomento il principio di “privacy by desin e by default”, declinati sotto questo profilo proprio dall’art. 25 par. 1 del GDPR, a mente del quale: “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”.

Dall’articolo 25 si evince che l’approccio del GDPR è centrato sulla valutazione del rischio (risk based approach), con il quale si determina la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti.

Non solo.

Se al Titolare del trattamento è richiesto uno sforzo di adeguamento “Tenendo conto dello stato dell’arte e dei costi di attuazione” al fine di risultare conforme al GDPR nei confronti dei soggetti esterni all’azienda (clienti e fornitori), il rispetto delle prescrizioni del GDPR lo tutelano anche da eventuali azioni processuali basate sulla violazione del trattamento dei dati personali da parte del proprio team di lavoratori, i quali, naturalmente devono per primi ricevere, ai sensi dell’art 13 del GDPR, l’informativa sul trattamento dei propri dati personali, risultando il loro datore di lavoro anche il Titolare del suddetto trattamento.

Ma vi è ancora un altro aspetto da tenere in conto se vogliamo fare un’analisi dell’impatto economico del GDPR sull’azienda, ossia il fatto che il rispetto delle norme del GDPR evita all’imprenditore, in qualità di Titolare (unico responsabile) pesanti ed ingenti sanzioni.

Come noto, il GDPR ha previsto rilevanti sanzioni di natura amministrativa in caso di violazioni della normativa sulla protezione dei dati personali.

In particolare, l’art. 83 del GDPR distingue due gruppi di sanzioni amministrative: nel primo gruppo rientrano le violazioni cosiddette di minore gravità, per le quali sono previste le sanzioni amministrative pecuniarie di  importi fino a 10 milioni di euro o, per le imprese (da intendersi come gruppo, come chiarito dalle Linee Guida del Gruppo di Lavoro WP Art. 29 n. 253), fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, e riguardano nello specifico le violazioni degli obblighi imposti ai seguenti soggetti:

  • il titolare ed il responsabile del trattamento (artt. 8, 11, da 25 a 39, 42 e 43 GDPR);
  • l’organismo di certificazione, Accredia;
  • l’organismo di controllo dei codici di condotta (art. 41 GDPR).

Il secondo gruppo di sanzioni, più pesanti in considerazione della maggiore gravità delle fattispecie a cui sono ricondotte, ammontano invece fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, e riguardano nello specifico le seguenti violazioni:

  • dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
  • dei diritti degli interessati a norma degli articoli da 12 a 22;
  • i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
  • qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
  • l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo (ovvero il Garante Privacy) ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1 GDPR.

Evidente, sotto questo profilo, come l’allineamento alle norme del GDPR in tema di protezione dei dati personali possa evitare anche un vero e proprio default dell’azienda inadempiente.

Avv. Eleonora Mataloni

Condividi
Cart
Your cart is currently empty.