E’ stato un semestre intenso per le organizzazioni, prevalentemente orientato alle attività di adeguamento al Regolamento Europeo per la Protezione dei Dati Personali (GDPR UE 16/679). Bisogna precisare però una tendenza inquietante nel nostro Paese. Molte di queste organizzazioni hanno scambiato, più o meno consapevolmente, l’attività vera e propria di adeguamento con una “rispolverata” alle informative e, nella maggior parte dei casi, neanche con buoni risultati.
E’ raro vedere un’informativa ben fatta, che prenda in considerazione tutti gli elementi richiesti agli articoli 13 o 14. Ed è ancora più raro che in esse si riesca ad individuare chiaramente la base giuridica su cui si fondano i trattamenti in oggetto, creando spesso un alone di mistero per gli interessati.
Molte organizzazioni non hanno chiaro che le stesse informative – a loro modo di interpretare il regolamento sono l’elemento su cui si fonda la protezione dei dati personali – sono un po’ come lo specchio del sistema di gestione adottato in materia di privacy. Un’informativa incompleta o approssimativa fa presupporre che anche gli altri elementi si distinguano per caratteristiche simili. Viceversa, le informative complete e chiare non solamente lasciano presagire una cura diffusa nell’organizzazione per tutto ciò che concerne la privacy, ma possono funzionare come efficace leva sulla soddisfazione del cliente, ormai vigile e consapevole del grande valore dei propri dati personali condivisi.
Sono mesi che sostengo la tesi che qualcosa non abbia funzionato come doveva. E sono anni che sostengo lo stesso, se ampliamo il discorso, per la sicurezza delle informazioni in genere. Ma non è neanche ammissibile seguitare a spiegare lo scenario poco incoraggiante che si è configurato, pensando sempre all’Italia come un paese spesso orientato all’arte del rimedio piuttosto che predisposto alla conformità, anche se di non sempre facile applicazione.
Certo, c’è da notare che il principio dell’accountability, ovvero la presa in carico delle responsabilità e la conduzione di specifiche azioni di rimedio sulla base di un meccanismo di analisi della gravità e delle probabilità di cagionare un possibile danno, non ci appartiene culturalmente. Siamo decisamente più orientati a cercare nella legislazione specifiche indicazioni di cosa è possibile o non è possibile fare. E con questo GDPR, che è tutto incentrato sulla capacità di comprendere bene il contesto esterno ed interno dell’organizzazione, le parti interessate ed individuare, ponderare e valutare i rischi, le organizzazioni faticano non poco a trovare il bandolo della matassa.
Nel mentre la forbice tra la tutela desiderabile per i diritti e le libertà delle persone, attraverso la protezione dei dati personali, e le misure di sicurezza messe in campo, si allarga sempre più. Tanto da stimolare una doverosa riflessione: può essere che il meccanismo dell’accountability in Italia non possa proprio funzionare? E se così fosse, qual è il piano B? In realtà è necessario proprio guardar meglio alle caratteristiche dei principi prescrittivi, unitamente all’esperienza di tutti i professionisti che lavorano in campo, per capire bene qual è l’ingrediente mancante.
Le organizzazioni sanno cosa devono fare, ma non hanno chiaro come ed in quale modo raccordarlo con le attività operative. Al livello normativo, mondo ISO incluso, mancano best practices sufficientemente chiare da poter essere adottate anche da chi fa altro di mestiere ed abbastanza efficaci da poter innescare sin da subito un processo di miglioramento costante. Per fare un esempio più concreto è come se fossero chiamate a costruire un arco senza però disporre della chiave di volta: crolla tutto.
Sono pochi gli attori che in quest’ambito hanno cercato di dare un contributo significativo. E coloro che ne hanno la capacità, lo vendono a caro prezzo. Tra quelli che hanno contribuito significativamente in materia va certamente citata l’ENISA, l’Agenzia Europea per la Sicurezza delle Reti e delle Informazioni, con il Manuale sulla sicurezza nel trattamento di dati personali. Da molti professionisti criticato per essere eccessivamente esemplificativo, in realtà questo documento costituisce oggi uno dei pochissimi strumenti operativi disponibili gratuitamente ed al tempo stesso messi a punto da un’organizzazione autorevole. Inoltre è d’obbligo citare lo strumento messo a punto per la valutazione d’impatto dal CNIL – Commissione Nazionale francese dell’Informatica e delle Libertà, altro bell’esempio di supporto ad un approccio operativo. E per terminare è anche doveroso segnalare le prassi di riferimento UNI 43 del 2018: Gestione e monitoraggio dei dati personali in ambito ICT e Requisiti per la protezione e valutazione di conformità dei dati personali in ambito ICT (UNI/PDR 43:2018 parte 1 e 2).
Nell’era della digitalizzazione, il tema della protezione dei dati personali assume un ruolo centrale. Si consideri poi che per l’anno entrante bisognerà fare i conti anche con l’applicazione della Direttiva NIS recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione per gli operatori di servizi essenziali e digitali; argomento strettamente connesso anche con la protezione dei dati personali. E’ quindi doveroso che, i soggetti coinvolti nell’affiancare le organizzazioni per il raggiungimento di uno stato di fattiva conformità, collaborino per la messa a punto e la diffusione di soluzioni operative valide e accessibili. Per una volta guardando non solamente al fatturato ma valutando anche il valore immateriale dei benefici complessivi per la tutela dei diritti delle persone interessate.
