Quasi sempre il successo di un progetto dipende in gran parte da chi lo porta avanti: come lo fa, la capacità di farlo procedere sulla giusta via, di difenderlo e soprattutto di spazzare via i paradossi che inevitabilmente si creano sono la ricetta di un successo sicuro. Anche un Regolamento è un progetto e non sfugge a questa logica. Il GDPR è, come ho sempre scritto, una gran bella rivoluzione e se sarà recepito nel giusto modo porterà ad un avanzamento dei diritti dell’uomo riguardo al mondo digitale.

Ma il successo dipende da noi!

Purtroppo ci sono segnali che non fanno presagire nulla di positivo. Aziende che vogliono nominare come responsabile esterno del trattamento l’impresa delle pulizie perché potrebbe entrare in contatto con i dati aziendali,  organizzazioni internazionali che giurano di non dover adempiere al GDPR perché equiparati a Stati, Aziende che vogliono che il manutentore rilasci un  documento che certifichi che l’intervento è stato eseguito rispettando le norme del GDPR, consulenti informatici costretti a firmare lettere di Amministratore di rete (pena la perdita del cliente), aziende che confidano “io non devo fare niente, me l’ha detto l’Avvocato…siamo un azienda di 3 persone e il GDPR non ci tocca”, consulenti che dopo avere realizzato la compliance cartacea ritegono esaurito il loro compito  perche “il cliente non vuole spendere e quindi continua a tenere gli antivirus gratuiti ed è senza backup", hotel che continuano a installare sistemi di videosorveglianza senza valutare un minimo di principio di necessità... la lista è lunga e potrei continuare per ore.

Sono tutti paradossi che attentano alla riuscita di un progetto: perché se noi addetti ai lavori non combattiamo questi paradossi, riportando l'applicazione del Regolamento sul giusto binario, rischiamo davvero grosso. Se noi diamo seguito a queste supercazzole applicative del GDPR  contribuiamo a svilire il progetto e a farlo naufragare.  Di questo passo arriverà il fenomeno di turno e  farà firmare la lettera di incarico a tutte le persone che entrano in un palazzo perche vedono i nomi e cognomi sui campanelli o perche potrebbero vedere la mia posta che è nella cassetta.

I paradossi vanno stroncati sul nascere per non banalizzare il principio sacrosanto della protezione del dato e riportare la discussione sul reale. Il Regolamento Europeo della Privacy è dannatamente semplice e si applica in modo lineare, esercitando competenza e buonsenso: non ci sono spazi per gli azzeccagarbugli!

• Si applica a tutti, Stati, Comuni, Province, aziende, studi professionali, Onlus, professionisti singoli che trattano i dati personali in uno Stato membro o che trattano i dati anche solo di interessati residenti in uno Stato membro. L’UNICA esclusione per non osservare il GDPR riguarda chi tratta i dati personali per uso esclusivamente domestico (pagina Facebook, posta elettronica per comunicare con parenti e amici)
• Quali articoli dobbiamo osservare o come dobbiamo farlo dipende da: il tipo di dati , la sua particolarità, il numero dei dati in nostro possesso, la quantità e la qualità dei trattamenti che eseguiamo con tali dati, la frequenza dei trattamenti, la dimensione della struttura. Un buon consulente della privacy è indispensabile per trovare il giusto compromesso
• Il Responsabile esterno, o data processor esterno, è la persona o il soggetto giuridico al quale il titolare affida un trattamento da eseguire più o meno continuativamente presso la sede esterna del soggetto: il Titolare gli affida dati di terzi autorizzando il DPO esterno a trattarli, conservarli e proteggerli secondo uno standard ben preciso. 
• Non si può incaricare qualcuno solo perché potrebbe entrare in contatto con i dati: coloro che non hanno il permesso di trattare dati non devono farlo o commettono reato! La donna delle pulizie, così come l’idraulico o il ladro non hanno il permesso di trattare i dati e non lo possono fare. Trattare i dati vuole dire anche solo consultarli, ma consultarli vuol dire leggerli per compiere un'altra operazione. Dobbiamo stare attenti a questo punto poiché il Regolamento ordina che i dati siano trattati in modo pertinente e non eccedente e non possiamo eccedere nelle lettere di incarico solo perché “nel più ci sta il meno”. Ogni caso va ponderato e risolto secondo linearità e buonsenso. Pensate a questo paradosso: se in un'azienda sostituiamo il database dei clienti e fornitori con uno finto con nomi di fantasia, gli incaricati e i Responsabili potranno svolgere il loro trattamento e il loro lavoro? Certo che no! Ma la donna delle pulizie o il manutentore dei Pc venuto perché il programma non indicizza bene per nome o la stampante non stampa potrà fare il suo lavoro? Certo che si! E questa differenza sostanziale non vi suggerisce niente? Non pensate che, con un po’ di buonsenso, si possa fare a meno di centinaia di Lettere di incarico inutili ed eccedenti (e per questo sanzionabili)? Se penso alla mia azienda mi viene da sorridere: ci occupiamo da 5 anni anche di decriptazioni da ransomware e le email che riceviamo sono anche 50/60 al giorno, tutte con due file campione da provare a decriptare. Sarebbero 60 lettere di incarico di data processor esterno al giorno che farebbero la cifra di oltre quindicimila lettere di incarico da gestire ogni anno; roba da arrendersi e cambiare lavoro.
• Proteggere i dati significa utilizzare tutti gli strumenti idonei a garantire che non sia semplice entrare e rubare o distruggere i dati e che sia semplice ripristinarli in caso di data breach. Quali strumenti  posso utilizzare per proteggerli? Antivirus centralizzati in cloud, sistemi di criptazione, backup ibridi sono oramai necessari anche nelle PMI e il loro costo notevolmente diminuito è diventato alla portata di tutti. Occorre garantire un corretto standard di protezione per non incorrere in sanzioni e in richieste di risarcimento del danno (l’art. 82  dice che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento".)
• Anche il dato cartaceo va protetto adeguatamente: registro degli accessi, stampanti di rete che chiedono il pin prima di stampare, cartelline per pseudonimizzare il dato contenuto all’interno, contenitori con chiave e distruggidocumenti sono tutti strumenti necessari per garantire la protezione del cartaceo. E’ necessario un cambio di mentalità nelle PMI: tutto questo non deve essere visto come un inutile spesa ma come un aumento della reputability della propria azienda che finirà per portarci grandi vantaggi anche in termini economici.
• Formare il personale, come giustamente fatto notare dal Garante negli art. 29 e 32, non è solo un semplice consiglio ma un dovere del Titolare del trattamento. Il personale edotto sui diritti e sui doveri rispetto ai dati personali diminuisce il rischio di data breach e di tutte le conseguenze che ne derivano: non è una perdita di tempo ma un investimento sulle risorse umane che darà i suoi frutti. 

E’ notizia di pochi mesi fa che il Garante austriaco Datenschutzbehörden, ha comminato una sanzione di 4 mila Euro ad una azienda che aveva installato il sistema di videosorveglianza puntandolo anche sul marciapiede opposto al perimetro aziendale senza alcuna giustificata motivazione. Un buon consulente privacy, con qualche centinaio di euro, avrebbe fatto risparmiare parecchi soldi all’azienda con un'analisi del principio di necessità, rilevando subito che il raggio di azione delle telecamere non era pertinente ma eccedente. 

Ovviamente come tutte le regole anche il GDPR ha le sue eccezioni che vanno gestite caso per caso e sempre più in profondità via via che le aziende alle quali dobbiamo dare la nostra consulenza aumentano come dimensioni e struttura. 

Infine ho letto con grande piacere l’intervista fatta in questi giorni all’avvocato Rocco Panetta, ex dirigente del Garante, il quale ha confermato ciò che io auspico dall’epoca del Documento programmatico sulla Sicurezza: nella nuova composizione  del collegio del Garante, che si rinnoverà a Maggio, serve necessariamente anche un informatico, perché sono troppe le criticità esistenti nelle PMI che riguardano settori IT sempre più complessi e serve qualcuno che faccia da traduttore tra la legge e l’informatica applicata.

Alessandro Papini
Presidente Accademia Italiana Privacy
[email protected]