Privacy e PMI. A che punto siamo con la compliance? Intervista all’avv. Lorenzo Perino

Claudio Bonato -

Come è cambiata la percezione del trattamento dei dati personali nelle imprese italiane, tra nuovi rischi digitali, evoluzione normativa e crescente attenzione del mercato.

— di Claudio Bonato

Vent’anni di attività nel campo della protezione dei dati personali sono un traguardo significativo, soprattutto in un Paese come l’Italia, dove la cultura della privacy ha conosciuto accelerazioni e frenate. In occasione dei vent’anni di Lext Consulting S.a.S., abbiamo incontrato Lorenzo Perino, avvocato e consulente specializzato in data protection, per fare il punto sul livello di compliance delle PMI e sulle sfide che le imprese si troveranno ad affrontare nei prossimi anni.

Avvocato Perino, partiamo dall’inizio: come è cambiata la percezione della privacy in questi vent’anni?

Quando la normativa è stata introdotta, a fine anni ’90, l’attenzione era tutto sommato contenuta. La prima grande spinta è arrivata con il Codice della Privacy nel 2003, la seconda con l’entrata in vigore del GDPR nel 2018. La differenza rispetto al passato è che, con il GDPR, il livello di attenzione non si è più abbassato. Oggi viviamo in una società fortemente digitale: la quantità di dati trattati è esponenzialmente superiore a quella degli anni 2000, così come gli strumenti con cui li gestiamo. Questo ha reso la privacy non più un adempimento burocratico, ma un vero tema strategico.

Negli anni, come si sono comportate le PMI italiane sul fronte compliance?

All’inizio la privacy era percepita come una scocciatura, un costo aggiuntivo e poco utile. Non rientrava nel core business. Oggi la situazione è cambiata: un livello minimo di compliance lo troviamo praticamente ovunque. Ciò è dovuto soprattutto alla crescita dei rischi: attacchi informatici, furti di dati, data breach che possono mettere in difficoltà anche aziende molto piccole. Di conseguenza, gli investimenti in sicurezza – anche infrastrutturale – sono diventati più frequenti e ciò ha portato benefici diretti anche alla gestione dei dati personali.

Quali fattori hanno inciso di più nello sviluppo della cultura della privacy?

Oltre alla normativa e alle sanzioni, quello che sta incidendo davvero è il mercato. Da un lato i consumatori sono più consapevoli e non esitano a fare richieste di accesso ai dati o reclami. Dall’altro, chi lavora con clienti strutturati deve rispettare procedure di qualifica come fornitore, che includono verifiche puntuali sulla compliance privacy. In sintesi: oggi la conformità la richiedono i clienti e gli stakeholder, non solo le autorità di controllo.

Che consiglio darebbe alle PMI che vogliono essere davvero conformi?

Prima di tutto analizzare il rischio specifico legato alla propria attività e ai dati che si trattano. È il punto di partenza per costruire una compliance su misura, efficace e sostenibile.
Poi occorre evitare la cosiddetta paper compliance, cioè la documentazione standard che non corrisponde alla realtà. Non serve a nulla e rischia di esporre l’azienda.
Inoltre, suggerisco di affidarsi a professionisti con esperienza specifica nel settore privacy: il GDPR ha portato nel mercato molti consulenti improvvisati, e i danni li stiamo ancora vedendo.
Infine, anche quando non è obbligatorio, la nomina di un DPO può fare la differenza in termini di continuità e aggiornamento.

Guardando al futuro: quali saranno le tendenze principali per le PMI?

Si discute della semplificazione del GDPR, e va bene alleggerire gli oneri amministrativi, ma bisogna fare attenzione: ad esempio, l’eventuale eliminazione dell’obbligo di tenuta del Registro dei Trattamenti rischierebbe di far perdere alle aziende la mappatura dei processi e quindi la consapevolezza del proprio rischio. In Italia, “non obbligatorio” viene spesso purtroppo interpretato come “non necessario”.

Poi c’è il fronte tecnologico: intelligenza artificiale, strumenti di controllo a distanza, piattaforme cloud globali, social network. Chi li utilizza deve sapere che ciò comporta valutazioni aggiuntive come la DPIA o la verifica del legittimo interesse, senza dimenticare le regole sul controllo dei lavoratori. In caso di violazioni sono previste anche sanzioni penali.

E non posso non citare un tema che pesa sulla percezione della privacy in Italia: le telefonate marketing preregistrate e automatizzate provenienti da call center esteri. Finché questo fenomeno non verrà arginato, sarà difficile far percepire agli utenti la reale utilità delle regole privacy che le imprese devono rispettare.

Dunque, la privacy oggi è più un costo o un investimento?

Se impostata correttamente, è un investimento. Significa ridurre rischi legali, reputazionali e operativi, ma anche rafforzare la fiducia dei clienti e rendere più efficienti i processi interni. Quando invece la privacy viene percepita solo come un obbligo formale, si trasforma in un costo e perde completamente il suo valore. La differenza, oggi, la fa la consapevolezza: capire perché si adottano certe misure, non solo come farle.

Biografia breve

Lorenzo Perino è avvocato e consulente con una lunga esperienza in protezione dei dati personali e compliance aziendale. Fondatore di Lext Consulting S.a.S., da oltre vent’anni affianca PMI e gruppi strutturati nella gestione dei processi privacy, nella valutazione dei rischi e nell’implementazione di sistemi di data protection. È relatore in corsi di formazione e autore di contributi dedicati alla cultura della privacy e della sicurezza delle informazioni nelle imprese.