“Big brother is watching you”. Dopo poco meno di settant’anni dalla pubblicazione di uno dei più significativi romanzi di Orwell, la situazione reale ai giorni nostri non pare purtroppo molto distante da quella descritta nel suo celeberrimo nineteen eighty four. Solo che il grande fratello di oggi non risulta così esplicito nella sua attività, e forse è anche molto più subdolo. L’ultimo di una ormai sempre più lunga serie di intrusioni non autorizzate è il caso Cambridge Analytica, che ha destato scalpore anche per l’apparente naturalezza con la quale un colosso mondiale ha di fatto reso disponibili i dati sensibili di milioni di utenti per scopi elettorali.
GDPR, nuove sanzioni e nuovi diritti
Di fronte all’imperversare di questa tempesta che minaccia di annientare il diritto (e la conseguente libertà fondamentale) di ogni persona a mantenere riservata una parte più o meno consistente della propria vita, l’Europa ha risposto con il Regolamento 2016/679, meglio conosciuto come “Regolamento generale per la protezione dei dati” o GDPR, acronimo di General Data Protection Regulation. Il regolamento è entrato in vigore già nel 2016, ma prenderà efficacia a partire dal prossimo 25 maggio 2018. Nuove sanzioni parametrate al fatturato globale, riservatezza come impostazione predefinita su tutti i nuovi prodotti o servizi e soluzioni customizzate per ogni differente tipologia di trattamento, ma anche nuovi diritti, come il diritto all’oblio, sono solo alcune delle soluzioni (mutuate dalla sempre più utile ed efficace dottrina di matrice anglosassone dell’analisi economica del diritto) che la democrazia occidentale ha messo in campo per tutelare il diritto alla riservatezza di tutti.
Protezione dati: da compliance a “valore” di mercato
Le aziende si sono adeguate a queste nuova regolamentazione? E se sì, lo hanno fatto in modo opportuno? A gennaio 2018 oltre la metà delle aziende italiane non aveva ancora attivato un piano di adeguamento. E la situazione ad oggi non sembra essere sostanzialmente migliorata. Tra richieste non ascoltate di proroghe da parte delle associazioni di categoria e corse dai consulenti di dubbia professionalità, è molto probabile che, più che dalle sanzioni che saranno irrogate ai non rispettosi delle regolamentazioni sulla privacy, la selezione sarà effettuata dal mercato. Al momento di definire a chi richiedere la fornitura di un qualsiasi prodotto o servizio i fruitori dei prodotti e dei servizi dovranno infatti decidere se privilegiare prezzi bassi oppure un fornitore GDPR compliant ad un prezzo necessariamente più alto. Senza dimenticare che i costi (anche di natura reputazionale) di un’eventuale sanzione proporzionale al fatturato possono risultare molto nocivi, se non addirittura fatali, per qualsiasi tipologia di soggetto attivo sul mercato.
Riusciranno allora le aziende italiane ad adeguarsi per tempo? Ai posteri l’ardua sentenza. Quello che sappiamo è che il legislatore ha predisposto un arsenale che, almeno dal punto di vista teorico, sembra avere tutte le carte in regola per affrontare le sfide di questi tempi. E, si spera, anche per vincerle.