Dato che di pezzi pieni di “tecnicismi”, con l’obiettivo di analizzare il GDPR articolo per articolo e renderlo fintamente userfriendly, ce ne sono a iosa, è ora di cominciare a condividere le prime lesson learned – che purtroppo non sono per niente incoraggianti – senza tanti peli sulla lingua. Sembrano storie di un genere vagamente surreale ma che invece corrispondono alle fotografie dell’esperienza in campo.
Il regolamento sulla privacy è davvero nuovo?
Di nuovo c’è poco, per due ragioni. Rispetto alla precedente normativa nazionale D.Lgs 196/03 – ancora parzialmente vigente – il GDPR non ha rivoluzionato i concetti portanti. L’impronta innovativa coinvolge i metodi di presidio dei diritti degli interessati e della sicurezza dei dati che li riguardano, più articolati rispetto al passato. In secondo luogo, la normativa entrante è in vigore dal 2016. E’ la mentalità tutta tipica del nostro Paese che induce (erroneamente) a ragionare sulla data cardine del 25 maggio scorso, termine ultimo di adeguamento, e che invece è stata di fatto la data di startup di molti progetti.
Si può informare senza dire un bel niente?
L’informativa resa agli interessati è lo strumento attraverso il quale si conferisce loro la facoltà di valutare il contesto e le modalità di trattamento dei dati che li riguardano ed esercitare quindi consapevolmente le proprie scelte. Ma se le finalità diventano voli pindarici per atterrare su un’improbabile base giuridica, i tempi di trattamento spesso aleatori e poche volte corrispondenti all’effettiva retention ed infine questi dati non si capisce mai bene chi e dove li tratta, dell’obiettivo ultimo resta ben poco. Il protagonismo assoluto ricade su alcune formule “giuridichesi” con mera funzione riempitiva, in barba al principio della chiarezza.
Se suona un allarme, l’importante è spegnerlo?
Analizzare i rischi e valutare l’impatto dei trattamenti è il metodo più coerente per individuare, pianificare ed intraprendere azioni mirate a tutelare gli interessati. Se si accendono delle lucine rosse, sarebbe il caso di ragionarci su. Ma in tanti riflettono su come spegnerle il prima possibile. Così buona parte degli sforzi sono tutti rivolti a capire come piegare il sistema software utilizzato piuttosto che ad analizzare e trattare i pericoli individuati.
Carta canta?
Nonostante il regolamento parli di “istruzione” per le persone incaricate a svolgere trattamenti per conto del titolare o del responsabile, persiste l’abitudine a voler risolvere la questione con un incarico formale. Ma l’affido di responsabilità – com’è più volte capitato di chiarire – è strettamente correlato al concetto di competenza e consapevolezza. E’ un circolo nel quale la carta ed i formalismi sono solo l’ultimo passaggio di un processo sostanziale di formazione e comunicazione, purtroppo spesso aggirato o saltato a piè pari.
E’ tutta una questione legale?
C’è tanta confusione sulle competenze da mettere in campo per arrivare all’obiettivo: giuridiche, manageriali, tecniche. E sempre più si afferma il modello gestionale integrato del GRC, ovvero governance, risk management e compliance. Ma alla fine molte aziende si sentono al sicuro se ad occuparsi di tutto il progetto c’è un avvocato. Poco importa che buona parte del regolamento pesi sulle implicazioni tecniche derivanti dall’impiego del digitale, ormai utilizzato per compiere i trattamenti nel 99,9% dei casi. Però, di contro, quando si tratta della nomina del DPO, tutti intraprendono un’improbabile scalata sugli specchi per giustificarne l’inopportunità.
Insomma, tutti i meccanismi principali che governano il Regolamento generale per la protezione dei dati personali sembrano essere stati distorti. A pensarci bene, forse da un’unica causa. Se una norma che nasce allo scopo di tutelare i diritti delle persone viene letta dalle organizzazioni come imminente necessità di attivare nuovi strumenti a tutela del business e, se il sistema sanzionatorio viene interpretato come il fulcro di un meccanismo che invece fa leva sul miglioramento continuo, cosa può succedere? Forse esattamente ciò che è successo: tanto fumo e niente arrosto.
