Ormai da mesi, a tutti i livelli, si discute attorno a come cambieranno le attività, imprenditoriali e non, a seguito dell’entrata in operatività del Regolamento (UE) 2016/679 in materia di trattamento dei dati personali.
Il dibattito è sostanzialmente concentrato sui singoli nuovi, o presunti tali, adempimenti, sui loro esatti contenuti e sulle attese chiarificazioni da parte del Garante Privacy su questo o quel tema specifico.
Tale attenzione, in alcuni casi vera ossessione, non consente di valutare l’impatto del Regolamento in modo più ampio e diverso dal suo oggetto dichiarato ovvero il trattamento del dato personale.
La responsabilizzazione in ambito pubblico e privato in relazione ai trattamenti dei dati personali, che si concretizza nella previsione di norme finalizzate ad identificare preventivamente chi e cosa fa all’interno dell’organizzazione, le misure da adottare per evitare violazioni e l’implementazione di sistemi di tracciabilità di tutti i soggetti che operano anche e soprattutto con le tecnologie, a ben vedere, finiscono con riguardare anche temi differenti dal trattamento del dato, fungendo pure da deterrente alla perpetrazione dei reati informatici.
La trasparenza richiesta dal Regolamento, infatti, se recepita correttamente, scoraggia il dipendente infedele da un uso illecito delle tecnologie, perché più agevolmente individuabile, e rende più difficili attacchi provenienti dall’esterno.
Le novità introdotte dal Regolamento, inoltre, agevolano l’Organizzazione nel reperire elementi utili a dimostrare l’eventuale commissione di un reato o la condotta inadeguata di un dipendente e, quindi, ben si sposano con le esigenze della computer forensics.
La necessità di preservare i dati personali da minacce ed incidenti di vario tipo si traduce, inoltre, in esigenza di sicurezza ed in particolare di cyber sicurezza, perché per proteggere il contenuto, il dato, occorre necessariamente partire dalla protezione del suo contenitore, il sistema.
A prescindere da quelle che saranno le novità introdotte a seguito del recepimento della Direttiva (UE) 2016/1148, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione , previsto per il 9 maggio 2018, è indubbio che responsabilità per mancata predisposizione di adeguate misure di sicurezza siano già ricavabili dal Regolamento.
Infine, e non di poco conto, è la considerazione che le nuove disposizioni in materia di trattamento dei dati personali, imponendo una trasparenza sulle attività, e quindi sui soggetti che le svolgono, finiscono con il garantire, se osservate, un’ esatta comprensione di quanto accade, offrendo, da un lato, la possibilità di correre immediatamente ai ripari, dall’altro di fornire all’esterno adeguate giustificazioni.
Tale possibilità si traduce nell’opportunità di difendersi in modo adeguato in sede di eventuale contestazione rispetto al Dlgs 231/2001, sempre più frequente a seguito dell’estensione della responsabilità dell’ente ai reati informatici perpetrati dai vertici e dai dipendenti, prevista dalla legge 48/2008 “Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno”.
La stretta relazione tra Regolamento, cyber security, computer forensics, digital crime e Dlgs. 231/2001, non ancora sufficientemente percepita dovrebbe, quindi, condurre a strategie di attuazione del Regolamento stesso in una prospettiva meno miope e di più ampio respiro.
Solo, infatti, se l’adeguamento al Regolamento terrà conto di tali rapporti nella loro globalità, quelli che oggi vengono percepiti come ulteriori adempimenti da onorare e, quindi, ennesimo “fastidio” imposto dall’alto, si potranno tradurre in un’opportunità in termini di produttività e di immagine, specie in ambito aziendale, garantendo tra l’altro una maggiore competitività nel mercato interno ed internazionale.