Con l’avvicinarsi della scadenza del 25 maggio 2018 proliferano in Rete le comunicazioni commerciali ed autocelebrative di aziende e consulenti, di chiara derivazione informatica, che pretendono di gestire integralmente l’adeguamento al GDPR (come già accaduto con il D.Lgs. 196/2003), ritenendo di poter leggere ed applicare un testo normativo senza farsi carico di anni di studio ed esperienza giuridica. Un approccio purtroppo inadeguato, che espone al rischio di pesanti sanzioni. Il GDPR, infatti, richiede un approccio multidisciplinare, che necessariamente deve coinvolgere giuristi, informatici, esperti di processi di gestione, analisi dei rischi, certificazione, comunicazione, organizzazione aziendale.
La necessaria coesistenza del tecnico con il giurista deriva essenzialmente da un problema di mentalità: scientifica da un lato, umanistica dall’altro. Il tecnico predilige un approccio matematico, il giurista è abituato a valutare l’ambiente in cui si muove rispetto ad dato normativo e a cercare di capire cosa potrebbe pretendere l’Autorità preposta al controllo. Sono figure complementari, non concorrenti.
Peraltro, anche la scienza dispensa opinioni e non certezze, perché anch’essa è in continua evoluzione. E’ sufficiente considerare che perfino le leggi della fisica non hanno il medesimo valore nella teoria quantistica per capire che le misure “idonee” di sicurezza del GDPR, saranno opinabili anche se cristallizzate in un determinato momento storico, senza contare l’evoluzione delle tecnologie che inevitabilmente si ripercuote sulle (in)certezze nell’applicazione del diritto. Un approccio orientato al buon senso e al lavoro multidisciplinare è certamente migliore di una procedura che non ammette alcun test o diversa valutazione del problema.
In qualsiasi azienda, ad esempio, ci sono dispositivi mobili recentissimi e con qualche anno di vita, personal computer con sistemi operativi ed applicativi appena acquistati ed altri più datati, per i quali i produttori non rilasciano più aggiornamenti per la sicurezza, server di rete obsoleti ed altri più nuovi. Tutti devono essere inseriti nel “sistema di gestione dei dati personali” e non basta applicare una patch o compilare una check list per renderli sicuri. Anzi, è noto che le “toppe” rilasciate in emergenza, per risolvere una criticità rilevante appena resa pubblica, possano fare più danni di quanti non ne risolvano, perchè non sufficientemente testate. Per quelli non aggiornabili, inoltre, sovente sussiste il problema di non poterli sostituire per ragioni finanziarie, pur essendo ugualmente necessari all’attività aziendale. E che dire dei downgrade operati dalle grandi aziende per effetto della crisi e della conseguente riduzione di personale, spazi e risorse? Chi lavora con tali realtà sa bene che a volte ci si imbatte con sistemi sovradimensionati, lasciati operativi ma privi di reale controllo e manutenzione, per i quali una soluzione, almeno organizzativa, dovrà comunque essere trovata.
Problematici anche cloud, hosting, housing e tutti i servizi in outsourcing che attengono al trattamento di dati personali, regolati da contratti che dovranno necessariamente sottostare ad una rigorosa attività di valutazione delle clausole relative alla gestione delle responsabilità. L’omessa gestione di tali questioni, infatti, comporterà l’inadeguatezza delle misure di sicurezza adottate (che non solo sono tecniche ma anche organizzative), a prescindere dalle certificazioni e dalle check list.
Per non parlare degli archivi cartacei, della sicurezza perimetrale e della formazione del personale (vero anello debole della catena), adempimenti che molti sembrano dimenticare quando parlano di protezione dei dati.
Per un approccio corretto al GDPR e al percorso di adeguamento è opportuno diffidare dei tuttologi e creare un team multidisciplinare, interno o esterno, che possa mettere insieme le diverse esperienze e culture.
