data protection

GDPR e Protezione dei dati, ma il 25 maggio non accadrà nulla

di Andrea Lisi, avvocato - Presidente di ANORC Professioni e Coordinatore Digital&Law Department |

Il panico generale che si sta creando prima dell'entrata in vigore del GDPR il prossimo 25 maggio 2018 è ingiustificato. Perché? Perché in quella data non succederà assolutamente nulla. Occorre agire con calma e non con passi, frettolosi e incerti. E' questo quello che il GDPR vuole e pretende.

Il “coraggio della paura”, come disse Totò in un celebre film, ormai sta animando questi ultimi giorni prima della fatidica data del 25 maggio alla rincorsa del più cavilloso adempimento privacy e dell’ultimo DPO disponibile.

Fioccano richieste disperate, consigli scroccati e bandi di gara impazziti. L’Italia -tutta- si sta muovendo all’impazzata, finalmente in un unico coro di vibrante follia.

Di cosa stiamo parlando? Ovviamente della paura delle sanzioni (che arrivano sino a 20.000.000 di euro o 4% del fatturato mondiale annuo) potenzialmente applicabili in caso di inadempimento ai dettami del GDPR (General Data Protection Regulation – Regolamento UE 679/2016).

Il tutto avviene, come nelle migliori tradizioni italiche, in pieno caos normativo generato non ultimo da un clamoroso annuncio governativo di una ventina di giorni fa, nel quale si dichiarava spensieratamente che – in aperta contraddizione con la legge delega ricevuta  e con quanto riferito dalla stessa Commissione Europea , l’Italia – in palese ritardo con il coordinamento del proprio sistema al GDPR – preferiva gettare alle ortiche tutta la sua storia normativa (per una volta solida e riconosciuta a livello europeo) in materia di privacy, abrogando interamente il Codice per la protezione dei dati personali.

Ovvio che in una situazione del genere si stia generando una sorta di panico generale (per i più diligenti), oppure di menefreghismo incontrollato con scomposti e imbarazzanti tentativi di abrogazioni implicite e “ad abundantiam” del GDPR da parte di altri (meno assennati).

Allora sfatiamo prima di tutto un mito: il 25 maggio 2018 non succederà assolutamente nulla. Non ci saranno terremoti o altri cataclismi. Non ci saranno nuclei specializzati della Guardia di Finanza in alta uniforme per l’occasione “sguinzagliati” dal Garante in ogni territorio d’Italia. Non ci saranno microspie localizzate ovunque alla ricerca dell’ultimo inadempimento perduto.

Non succederà nulla di tutto questo. In realtà, mi sembra giusto riferirlo, questo Paese è vittima di se stesso e dell’approccio (sbagliato) che da sempre ha riservato a questa importante normativa: la corsa disperata all’adempimento facile. A partire dal DPS. Ve li ricordate i copia incolla grossolani dei Documenti Programmatici sulla Sicurezza?

In realtà, questa “miracolosa” accountability introdotta dal GDPR, gli stessi principi della privacy by design e privacy by default di cui tutti i recenti convegni sono pieni zeppi, già da tempo animavano la normativa nazionale in molti suoi articoli (basti ricordare gli articoli 3 e 31 del Codice). Ovvio che questi principi, già ben presenti nel nostro sistema giuridico, venivano annacquati da un generalizzato e sconsiderato modus operandi da parte di svogliati titolari e da richieste esplicite e ripetute di chiarimenti interpretativi al Garante (che ha dovuto rispondere con atteggiamenti da balia nazionale in pieno contrasto oggi con ciò che è previsto nel GDPR).

Oggi la balia non c’è più. Tocca a tutti i titolari e responsabili del trattamento di dati personali in modo serio e approfondito decidere che fare e scegliere la strada utile da intraprendere, documentando lo stato dell’arte con un’analisi reale, rispondendo così con un piano di assessment finalmente utile e operativo che preveda attribuzioni precise di ruoli e tempistiche da rispettare, e anche corretta informazione e formazione.

Occorre essere coraggiosi, quindi: dei veri manager pronti a intervenire prima di tutto con proattività, per non farsi cogliere impreparati da questo cambiamento – più “mentale” e culturale piuttosto che sostanziale – di impostazione nella normativa.

E lo stesso cambiamento di impostazione ci deve far capire che occorre documentare con attenzione tutti questi passaggi, dimostrare di averli avviati, essere pronti a giustificare con forza e pazienza le scelte effettuate, che vanno prese in piena autonomia, eventualmente avvalendosi di un DPO (Data Protection Officer), quando obbligatorio o solo opportuno.

La logica è questa e la fretta è cattiva consigliera e non ha senso. Procediamo con calma e non con passi zoppicanti, frettolosi e incerti. Questo è proprio quello che il GDPR vuole e pretende. Occorre agire con metodo e rigore, disegnando ogni passo necessario in uno scenario che non può andare più da oggi al 25 maggio 2018, ma da oggi al 25 maggio 2019.

E non sarebbe male che lo stesso Garante lo incoraggiasse questo atteggiamento, senza alimentare ulteriore panico, come ho sentito riferire istituzionalmente in questi ultimi mesi, all’interno di numerosi contesti (anche da parte dello stesso Garante Europeo, Giovanni Buttarelli).

Non guasterebbe neppure una presa di posizione autorevole in materia di sanzioni come avvenuto in Francia, considerato il caos generato dai ritardi nel coordinamento normativo e soprattutto dalla sconsiderata “annuncite” avvenuta con la paventata abrogazione del Codice.

Per cortesia. Calma.

Concludo di seguito con uno Schema Operativo, utile a collocare gli step da sviluppare. Per affrontare ogni passo necessario, senza panico.