"Quanti siete, cosa trasportate, un fiorino". One stop shop e il turismo dei garanti privacy
Un unica norma: il GDPR.
Un unico territorio: UE. 28 paesi differenti, autorità garanti... e
28 differenti stili tra cui scegliere.
Leggo oggi un interessante e piccata analisi relativa alla strategia di Google rispetto ad uno dei tanti temi aperti relativi in tema di privacy.
Gia in passato, per uno stesso evento che ha coinvolto una singola impresa, ancorché di livello internazionale, le autorità garanti si sono espresse e comportate in modo differente. L'autorità Spagnola ha sanzionato pesantemente l'azienda, mentre l'autorità garante Inglese ha solamente richiesto delle misure di protezione senza provvedere ad alcun atto sanzionatorio.
Oggi emerge con chiarezza un altro elemento su cui riflettere: una singola azienda può (o meglio, deve) scegliere a quale autorità essere soggetta, eleggendo la propria "residenza privacy" in uno dei 28 paesi a disposizione. Lo prevede il GDPR stesso e prende il nome di One Stop Shop.
Certamente, la norma è unica, certamente tutte le autorità garanti hanno il medesimo livello di competenza, sono soggette alle stesse regole, hanno un coordinamento centrale e diversi punti di incontro e di contatto... ma, di fatto, se scegli il paese giusto, la difesa diventa più semplice, il dialogo possibile, la responsabilizzazione del titolare può essere valutata e apprezzata con occhio più favorevole e le attività ispettive possono addirittura diventare benevole.
In effetti, la norma non è proprio identica tra le diverse nazioni d'europa. Il GDPR è il medesimo, ma sono presenti differenti normative integrative e di recepimento o armonizzazione che a volte possono risultare particolarmente scomode o particolarmente favorevoli.
In fondo non è uno scenario nè nuovo nè ingiusto: da sempre le aziende stabiliscono i propri centri di interesse in modo oculato. Da sempre la residenza fiscale viene scelta sulla base della tassazione applicata e le automobili o le barche sono immatricolate nel paese meno ostile.
Perchè la "residenza privacy" dovrebbe rispondere a criteri differenti?
Forse la cosa sorprendente è che si possa scegliere su vari fronti in modo disgiunto: la residenza fiscale in Irlanda, la residenza privacy in Romania, in Lettonia, in Lituania o a Cipro.
Anche l'Italia può partecipare a questa sorta di competizione e potrebbe trovarsi a diventare un polo attraente per la localizzazione di molte imprese, almeno sotto il profilo della "Residenza Privacy".
Sarà interessante fare una statistica delle scelte delle imprese che, sono certo, non sarà dettata da ragioni di comodità ma di convenienza. Prima però è necessario che le imprese si accorgano di quanto sia rilevante questa scelta e di quanto impatto possano avere le conseguenze.
Mi ricordo un interessante incontro con l'intero CDA di una startup operante nel settore del data management puro, un'impresa forse estrema, o forse pionieristica, estremamente abile e attrezzata nella gestione di enormi quantità di dati, nella loro interconnessione e trasformazione. Un'ente pulito, desideroso di fare le cose nel modo giusto, al quale però ho dovuto dire che la loro idee anon era nuova e che il terreno su cui volevano giocare era in realtà un campo minato.
A quest'azienda (extraeuropea) ho consigliato di fare uno studio e un'attenta valutazione della loro "residenza privacy" e scegliere oculatamente dove piantare la loro bandierina. In quel momento l'idea non è stata compresa ed è stata scartata. Oggi più che mai darei lo stesso identico consiglio: studiare, analizzare e valutare la geografia politica delle autorità garanti è necessario.
CB