Quali sono i vantaggi economici per l’imprenditore che investe per adeguarsi alle nuove norme in tema di protezione dei dati personali
Può non sembrare immediato e costituire anzi un paradosso: investire denaro sulla privacy in tempi in cui i nostri dati personali circolano alla velocità della luce e siamo esposti (più o meno consapevolmente) ogni giorno nelle piattaforme social.
Ed invece il trattamento dei dati personali sicuramente incide in maniera vantaggiosa sul bilancio societario del Titolare del trattamento.
Ebbene si; i costi che possono essere inizialmente richiesti per iniziare il percorso di compliance ha senza dubbio un riflesso positivo sull’azienda, in grado di poter vantare, una volta terminato, una forte “web reputation” rispetto agli altri competitor.
Il nuovo Regolamento UE 679/2016 ha infatti comportato una vera e propria rivoluzione per tutte le aziende, chiedendo uno sforzo al Titolare di investire una parte del proprio budget aziendale per poter compiere l’allineamento alla nuova normativa europea.
Naturalmente l’applicazione del GDPR non impone parametri standard e uguali per tutti.
L’investimento che inizialmente deve essere messo in conto dal datore di lavoro (dalla scelta del consulente, all’implementazione delle misure di sicurezza, passando per l’organizzazione della formazione dei propri lavoratori) può essere anche medio-alto ma sicuramente la sua attuazione porterà benefici in termini di organizzazione, razionalizzazione dei processi e reputazione aziendale.
Permea l’argomento il principio di “privacy by desin e by default”, declinati sotto questo profilo proprio dall’art. 25 par. 1 del GDPR, a mente del quale: “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”.
Ma vi è ancora un altro aspetto da tenere in conto se vogliamo fare un’analisi dell’impatto economico del GDPR sull’azienda, ossia il fatto che il rispetto delle norme del GDPR evita all’imprenditore, in qualità di Titolare (unico responsabile) pesanti ed ingenti sanzioni.
Come noto, il GDPR ha previsto rilevanti sanzioni di natura amministrativa in caso di violazioni della normativa sulla protezione dei dati personali, anche di importi fino a 10 milioni di euro o, con riferimento alle violazioni degli obblighi imposti ai seguenti soggetti:
- il titolare ed il responsabile del trattamento (artt. 8, 11, da 25 a 39, 42 e 43 GDPR);
- l’organismo di certificazione, Accredia;
- l’organismo di controllo dei codici di condotta (art. 41 GDPR).
E sanzioni fino a 20 milioni di euro in caso siano commesse le seguenti violazioni:
- dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
- dei diritti degli interessati a norma degli articoli da 12 a 22;
- i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
- qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
- l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo (ovvero il Garante Privacy) ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1 GDPR.
Evidente, sotto questo profilo, come l’allineamento alle norme del GDPR in tema di protezione dei dati personali possa evitare anche un vero e proprio default dell’azienda inadempiente.