Siamo quasi ad un anno dal termine ultimo per l'adeguamento al Regolamento Europeo della Privacy e qualche considerazione diventa obbligatoria. La prima è che troppe poche aziende e professionisti si sono adeguati; non è un bene, non ci qualifica e sopratutto non rispecchia il vero valore e la reputability delle aziende della nostra penisola. Sono molti i motivi di questa disaffezione alla privacy, proviamo a vederli insieme.

• Una concezione e standard obsoleti del concetto di privacy

Il percorso per essere conformi con il Regolamento si è scontrato con una concezione molto diversa, tipica del mondo produttivo italiano, abituato a mandare pubblicità e offerte a go go senza la minima autorizzazione, a preparare ricette mediche colme di dati sensibili e lasciarli sul tavolo della segretaria tipo self service, ad affiggere (unico paese in Europa) fuori dalle aule di Tribunale gli elenchi delle cause trattate con il numero di iscrizione al ruolo , imputato e il titolo di reato, a continuare a chiamare i pazienti per nome nei reparti specialistici degli ospedali, a videoregistrare clienti e dipendenti all’insaputa degli interessati eccetera, eccetera, eccetera. Che il cambio di rotta a partire da standard privacy così bassi, da una concezione così obsoleta della privacy, non sarebbe stato assolutamente facile è cosa risaputa da tutti gli addetti ai lavori e non è stato un caso che il nostro Garante abbia lasciato un lungo periodo di “quiete” anche dopo il famoso 25 Maggio 2018.

• Una notizia sottotraccia

Un altro motivo è stato la poca cassa di risonanza dei media, che si sono inspiegabilmente spenti il 26 Maggio contribuendo ad accompagnare nel dimenticatoio un regolamento importante e fondamentale per la nostra credibilità. Certo, anche gli addetti ai lavori (consulenti privacy, Studi legali ecc) hanno contribuito non poco a creare confusione, a parlare di improbabili esenzioni o deroghe, a non essere particolarmente incisivi nell’informare i professionisti della rivoluzione che stava arrivando sia a proporre valide ed efficaci strategie di approccio. E’ innegabile però che questo cammino, seppur tortuoso e difficile, deve essere percorso da tutte le aziende nel minor tempo possibile.

• Preparazione e competenze

Ulteriore considerazione su cui riflettere è la preparazione dei consulenti privacy e dei Responsabili della Protezione del Dato. In assenza di un albo e un indirizzo formativo ufficiale, un numero imprecisato di persone si è inventato una professione. Persone però, il cui know-how si riduce all'aver partecipato ad un corso di qualche giorno, pagato profumatamente, con tanto di attestato finale che garantisce di potersi presentare come RPD certificati. Informatici, Ingegneri, Dottori in legge, addirittura Avvocati si sono gettati su questo nuovo business senza la minima esperienza, generando paradossi nei quali ci imbattiamo quotidianamente. Alcuni esempi, dei quali siamo venuti a conoscenza e realmente accuduti: 

• RPD di Ospedali che preparano le lettere di incarico, come responsabili esterni, per la lavanderia che lava i camici dei Medici e degli infermieri, perchè hanno il cognome inciso sul taschino;
• professionisti che autorizzano l’azienda per le quale svolgono le mansioni di Responsabile del trattamento a mandare comunicazioni commerciali a liste di professionisti senza avere il minimo consenso, giustificando la cosa perché trattasi di materiale omaggio;
• chi incarica come responsabile esterno dei dati l’azienda che gli ha venduto lo spazio backup, evitando però intelligentemente di mandare una lettera di incarico a responsabile anche a Sergei Bryn per Google Drive;
• chi appronta lettere di incarico a responsabile esterno copiate e incollate qua e là con incipit tipo “obblighi del Responsabile: adottare tutte le misure di sicurezza di cui all’art.32…” 

Insomma un mare magnum di stranezze e follie generate da un esercito di “poco“ esperti che non mettono in pratica il più importante articolo non scritto del Regolamento europeo della privacy: il buonsenso. Perché vedete, senza un’ottima dose di buonsenso non si riescono a valutare le criticità, le misure giuste, le figure che ruotano intorno alla privacy e la filiera del dato nella sua interezza, in poche parole non si riesce a mettere sulla giusta strada la conoscenza della materia e l’esperienza acquisita sul campo.

Ecco quindi che il buonsenso, l’esperienza e la conoscenza della materia formano quel tavolo a tre gambe indispensabile per la credibilità di un  professionista.

• Quasi un anno dopo...

Questo è il momento più importante per la storia del Regolamento, il momento in cui i professionisti devono iniziare a trattare la materia in modo adeguato, a parlare di sistemi di criptazione per proteggere i dati, di sistemi di backup in cloud per progettare un disaster recovery credibile e coerente, di antivirus centralizzati programmabili da remoto per aumentare gli standard di sicurezza, di sistemi di cancellazione sicura prima di smaltire o cambiare utente a qualsiasi dispositivo digitale, di armadi e contenitori con chiave adeguati per riporre i dati cartacei, di protezione nei locali chiusi con sistemi di videoregistrazione, di fare le giuste comunicazioni all’Ufficio Distrettuale del Lavoro, di creare lettere di incarico, relazioni e registri non ciclostilati come facevamo con i volantini ai tempi del liceo, ma che, al contrario siano realizzati per quella specifica persona di quella specifica azienda per quel particolare trattamento. Sapete bene quanto sia favorevole ad una piattaforma in cloud che permetta di facilitare il compito di un consulente nel rendere coerente un azienda al Regolamento, ma chi mi conosce sa altrettanto bene che non mi stancherò mai di dire che poi la differenza la fa il consulente utilizzando le varie sezioni e inserendo tutto il suo sapere, la sua esperienza e il suo buonsenso.

Un mese fa ho avuto un confronto con una brava e preparata RPD di una Regione, la quale mi ha fatto notare che anche i rischi ai quali possono andare incontro i dati sono infiniti e non esauribili in una lista da spuntare: è importante avere una protezione base, ma va anche aggiunto ciò che l’esperienza ci suggerisce essere critico per quel trattamento. Un esempio? Chi consegna per gli ospedali presidi medici o medicine o referti è sicuramente un responsabile del dato a volte anche esterno ma , a livello di rischi e di mitigazioni, su quel trattamento ne incombono tantissimi. Basti pensare per esempio che per devono essere anonimi i veicoli, il vestiario dei dipendenti, le buste… e a livelli di rischio la perdita, lo smarrimento, il furto, l’errata consegna, il deterioramento….

Per questo cari colleghi l’approccio che abbiamo avuto fino ad oggi non è stato sufficiente; dobbiamo metterci tutto il nostro buonsenso, la nostra conoscenza della materia e la nostra esperienza per coadiuvare le aziende e i professionisti, per dialogare con i responsabili esterni, i RPD e tutti coloro che ruotano attorno ai dati personali e sensibilizzare tutti che questo processo di crescita è indispensabile e porterà sicuramente buoni frutti.