La relazione sul bilancio annuale degli oneri informativi, i costi amministrativi conseguenti ad obblighi informativi, introdotti e/o eliminati con provvedimenti legislativi nell’anno 2018, sesto anno di applicazione del bilancio degli oneri, riporta le relazioni prodotte dalle amministrazioni centrali, i ministeri, alle quali si devono aggiungere gli esiti delle consultazioni integrative delle associazioni imprenditoriali.

Il Ministero dello sviluppo economico ha individuato tre provvedimenti ai quali sono associati degli oneri informativi quantificati per 16.828.280 euro.

Per il ministero dell’Ambiente il Regolamento denominato «Made Green in Italy», ha comportato l’introduzione di oneri per 2.822.380 euro

Tuttavia il Ministero della giustizia ha comunicato di non poter quantificare gli (eventuali) oneri informativi connessi al provvedimento di attuazione del Regolamento UE 2016/679 per la protezione delle persone fisiche riguardo al trattamento dei dati personali, e alla libera circolazione di tali dati. Il decreto attuativo ha però introdotto degli obblighi informativi per le comunicazioni da effettuare all’autorità di controllo, mentre alcuni sono stati eliminati, abolendo la verifica preliminare per i trattamenti caratterizzati da rischi specifici.

La Confartigianato ha osservato che il nuovo Regolamento (GDPR), basato sul principio dell’accountability (responsabilità), ha obbligato tutte le imprese a “responsabilizzarsi”, quindi a definire un vero e proprio sistema di gestione: mappare i trattamenti dei dati, per definire la propria condizione rispetto ai dati trattati; determinare le azioni necessarie per conformarsi alla nuova normativa; dare evidenza della conformità. Per agevolare l’adeguamento delle micro e piccole imprese, Confartigianato ha costituito un Gruppo di lavoro interno che ha predisposto una “cassetta degli attrezzi”: modulistica aggiornata, check-list di valutazione aziendale, registro dei trattamenti, FAQ, Vademecum per le imprese. Si delinea così un sistema di gestione del tipo Plan, DO, Check, Act.

Tali strumenti sono stati condivisi con gli uffici del Garante italiano della privacy per un confronto. Le stime sui costi, in base alla tipologia di rischio relativa ai dati trattati ed alla presenza o meno di dipendenti, per un primo adeguamento sono pari a 3,1 mld di euro.

Anche per Confindustria l’adeguamento è risultato oneroso, tra gli adempimenti: il registro delle attività di trattamento, anche per le imprese con meno di 250 dipendenti, quando effettuino trattamenti rischiosi, trattamenti occasionali o trattamenti di dati sensibili o giudiziari; la DPIA (valutazione d’impatto privacy), con successiva eventuale consultazione del Garante privacy; l’individuazione dei data breach e il conseguente obbligo di documentazione; talvolta la nomina del DPO (responsabile protezione dati), con l’obbligo di comunicarne i riferimenti allo stesso Garante. Tuttavia esistono delle difficoltà nell’individuare il numero di destinatari del Regolamento, mentre è più agevole la stima dei costi unitari anche grazie alle apposite Linee guida.

Adempimenti onerosi, ridotta capacità di investimento delle PMI obbligate a scegliere tra l’opzione “legal” quindi un adeguamento più formale che sostanziale della normativa, tra cui revisione delle informative, policies dei dipendenti, registro del trattamento, regolamentazione del trasferimento dei dati all’estero, oppure opzione “tech” come opportunità per riorganizzare le infrastrutture spesso obsolete, pensiamo ad esempio alla necessità di creare piani di business continuity e disaster recovery, oppure la totale assenza di audit di seconda parte sui fornitori di servizi IT!

Osservando i punti di contatto operativi e di contenuto tra il GDPR e i sistemi di gestione aziendale a norma UNI EN ISO, vediamo che il tutto potrebbe essere riconducibile ad un processo, all’interno di un Sistema Gestione Qualità aziendale (UNI EN ISO 9001:2015). Le organizzazioni ne trarrebbero vantaggio, tenendone sotto controllo i processi, le revisioni dei documenti. In un Sistema Qualità “L’organizzazione deve aver cura della proprietà dei clienti (par. 8.5.3 della ISO 9001)”: per proprietà dei clienti si intendono anche i dati personali.

Inoltre il GDPR prevede e incoraggia la certificazione e la dimostrazione della conformità dei trattamenti effettuati. Il certificatore deve essere accreditato dall’autorità di controllo competente, il Garante o dall’organismo nazionale di accreditamento, in Italia Accredia, o da entrambi.Menzioniamo brevemente anche l’emissione della UNI CEI EN ISO/IEC 27001:2017, che afferma l’importanza che “il sistema di gestione per la sicurezza delle informazioni sia parte integrante dei processi e della struttura gestionale complessiva dell’organizzazione” e che “la sicurezza delle informazioni sia considerata nella progettazione dei processi, dei sistemi informativi e dei controlli”. Si tratta di una norma volontaria, la cui conformità certificata si configurerebbe come un vantaggio competitivo per le imprese, gli enti, le organizzazioni in generale tenute ad adempimenti per la Privacy.