Dopo un iter durato ben quattro anni è stato approvato dal Parlamento europeo il regolamento unico in materia di privacy. I cittadini avranno un ombrello comune per proteggersi dalle intrusioni indesiderate nella loro vita privata, ma per molte aziende potrebbe esserci da pagare un conto molto salato. Ogni Stato membro avrà due anni di tempo per adeguarsi. Per capire cosa cambierà per gli italiani abbiamo chiesto un commento ad Alessandro Curioni, esperto di privacy e sicurezza dei dati. «Nessun cittadino deve aspettarsi una rivoluzione copernicana», spiega Curioni aggiungendo che «di fatto il regolamento sancisce diritti già previsti dall’attuale normativa, da pareri delle autorità garanti e decisioni prese a livello di giustizia europea, come per il diritto all’oblio e la portabilità dei dati, per esempio da un operatore telefonico all’altro, dunque non siamo di fronte a grandissime novità».

Per gli operatori economici, invece, cosa cambierà?

«La situazione è molto diversa, perché tutte quelle aziende che fino ad oggi avevano trascurato le tematiche di sicurezza delle informazioni, adesso, almeno per quanto attiene i dati delle persone fisiche, avranno molto da fare e da spendere. Il regolamento introduce obblighi in materia di sicurezza piuttosto pesanti. A partire dal vincolo di prevedere i temi di tutela della privacy in qualsiasi operazione di trattamento venga effettuata sui dati, per proseguire con l’obbligo di notifica all’autorità garante di eventuali incidenti che compromettano la sicurezza di tali dati e finire con la nomina di un responsabile della sicurezza dei dati».

Sembra prefigurarsi un aggravio degli oneri da sostenere.

«In generale viene richiesto un monitoraggio costante e la capacità di dimostrare che sia effettivo. Per questa ragione all’interno del regolamento si incentiva l’adozione di certificazioni idonee allo scopo. A questo si aggiunge il tema di un regime sanzionatorio ben diverso da quello attuale con multe che possono arrivare al 4% del fatturato».

Quindi per le aziende c’è soltanto il bastone e non la carota?

«Il vantaggio per gli operatori più grandi, soprattutto se multinazionali, sarà quello di avere una normativa armonizzata con la quale confrontarsi e di potere fare riferimento a un’unica autorità garante, quella del Paese che eleggerà come sua sede principale. Le piccole aziende beneficeranno di un principio di semplificazione degli obblighi. Per esempio qualora il trattamento di dati personali non sia l’attività predominante e non sussistano gravi rischi, potranno evitare di nominare il responsabile per la sicurezza dei dati».

Wall & Street