Il GDPR, nel suo imporre ad ogni imprenditore di proteggere i dati a pena di gravi sanzioni economiche e non, ha la particolarità di lasciarlo completamente libero nella scelta delle modalità per la sua applicazione. L’articolo 25 del Regolamento Europeo 679/2016, che nella rubrica parla di “protezione dati dalla progettazione”, esordisce con le chiare parole “Tenendo conto dello stato dell’arte e dei costi di attuazione.” Prosegue parlando di natura, ambito e contesto, nonché delle finalità del trattamento.

Si tratta di indicazioni importantissime non solo per operatori e consulenti, ma anche per coloro devono applicare la norma sostenendone i costi. Non vengono infatti imposti comportamenti o previsioni che un imprenditore debba assolutamente tenere, ma viene imposto a ciascuno di tenere presente tutte le condizioni e le possibili sfaccettature della propria realtà aziendale e del contesto che gli gira intorno, per procedere alla costruzione di un sistema di protezione e trattamento dati che risponda al meglio alle proprie esigenze e non si riveli oltremodo oneroso per le finalità del caso. E’ stato del resto fatto notare che, in tutto il suo testo, incluse le corpose premesse, il GDPR non contiene i termini password, firewall e antivirus, che tutti ben sappiamo essere le misure minime di protezione di un computer o un cellulare che contengono dati.

Tutto ciò rende indispensabile, anche per risparmiare costi ed energie, l’attività prodromica e antecedente quella di creazione del sistema protezione dati, vale a dire la valutazione del rischio, da cui muove la costruzione della privacy policiy che deve tutelare sia i dati, sia il soggetto, l’Interessato.

E’ quel concetto di privacy by design che muove l’intera disciplina e che verrà ad essere uno dei canoni che ogni azienda ben potrebbe utilizzare non solo come canone per la protezione dati, ma anche come elemento della propria organizzazione. Prendere infatti coscienza che la privacy impone la conoscenza non solo del proprio cliente, ma anche dei rischi relativi al trattamento dei suoi dati, può consentire di eseguire analisi di mercato e profilazione sull’intera durata di un ciclo produttivo, non essendo infatti possibile limitare la protezione dati ad una sola analisi iniziale. Inoltre l’utente - cliente - consumatore - risorsa dell’azienda, è al centro del sistema e la sua conoscenza, collocata all’interno del mercato di riferimento, è un indispensabile asset aziendale.

Comprendere quindi quali dati occorre trattare e, in applicazione del principio di privacy by default, minimizzare gli stessi. Ciò potrebbe portare anche un risparmio in termini economici, in quanto impone di non richiedere (e quindi conservare) dati non necessari o non pertinenti all’attività svolta, e quindi limitare i costi di raccolta e protezione.

All’esito di questa analisi potranno essere decisi gli strumenti di protezione e trattamento, vale a dire quelle misure tecniche e organizzative adeguate a garantire la conformità della soluzione richieste dalla norma per garantire le tutele fondamentali previste dal GDPR. Al di là dell’adeguamento allo stesso, pertanto, una sana gestione della privacy ben permette di gestire anche i rischi di attacchi informatici che, seppur sempre presenti, possono essere meglio affrontati mettendo a repentaglio meno dati possibili o gestendo informazioni che non destano l’interesse di hacker e pirati del web.