Prendiamo proprio l’esempio della privacy. Hai fatto caso, su Linkedin principalmente, che quando decidi di scaricare un white paper o una brochure magica che promette di risolvere tutti i tuoi problemi, l’imbonitore di turno ti chiede sempre qualcosa? Nome, cognome, e-mail; e fin qui potrebbe andare bene.

Ma poi inizia con ruolo, settore, numero di dipendenti, magari fatturato: alla faccia del GDPR.

Finalmente arrivano cinque domande. Sempre più o meno le stesse cinque domande.

Le risposte arrivano da chiunque, da qualsiasi settore, con qualsiasi struttura interna. La multinazionale farmaceutica e il piccolo studio professionale compilano lo stesso form; e anche il gelataio all’angolo. E tutti accettano la stessa informativa, spuntando la stessa casella del consenso.

Alla fine, dopo avere scaricato il documento, e risposto ad altre domande, scoprite di essere compliant al venti o al settanta percento. Si chiama effettivamente compliance. Ed è, in apparenza, esattamente ciò che la legge richiede. O meglio; ciò che la maggioranza crede la legge richieda.

Ottanta per cento? Sono a posto, si dicono i più. Magari convinti di avere risolto tutti i problemi di privacy grazie alla pecetta copia-incolla che hanno acquistato insieme al sito. Il problema non è il modulo. Il problema è che il modulo ha convinto le aziende di avere un sistema sicuro.

Documentazione vs Organizzazione: il cuore della gestione del rischio

Nel corso degli anni, il GDPR è diventato, nella pratica quotidiana della maggior parte delle organizzazioni, un elenco di adempimenti. Registro dei trattamenti. Informative. Nomine dei responsabili. Policy interne. Formazione annuale. Tutto archiviato, tutto firmato, tutto formalmente ineccepibile.

Poi succede qualcosa. Una mail inviata al destinatario sbagliato. Un accesso non autorizzato a un sistema. Un errore umano che espone dati di terzi. In quel momento, la domanda non è più: hai fatto i compiti? La domanda è: chi decide? E poi sarebbe opportuno chiedersi anche: Chi comunica a chi? Andate a rileggere il papello. Non c’è scritto.

Chi stabilisce se si tratta di un data breach notificabile? Chi ne valuta la gravità entro le 72 ore previste dal Regolamento? Chi attiva il DPO? Chi decide se bloccare un sistema per contenere il danno, sapendo che bloccare significa fermare l'operatività? Chi comunica all'esterno, e con quali parole? Queste risposte non sono nella to-do list. Non sono nell'informativa. Non sono nel registro dei trattamenti. E se non sono state definite prima, non verranno trovate proprio nel momento del bisogno.

C'è una confusione di fondo che vale la pena nominare: quella tra documentare e organizzare. Documentare significa produrre carte che attestano cosa è stato fatto. Organizzare significa definire chi fa cosa, quando, con quali poteri e con quali informazioni, nel momento in cui qualcosa va storto.

Il modulo di raccolta dati per il white paper è documentazione perfetta. Attesta il consenso, registra la finalità, rispetta la forma. Ma non dice nulla su cosa l'azienda farà se quei dati venissero compromessi. Non dice chi chiamerà chi. Non dice chi avrà l'autorità di fermare un processo. Non dice nemmeno chi sa dove sono conservati quei dati.

Il GDPR, nel testo e nello spirito, non è un sistema di documentazione. È un sistema costruito attorno al concetto di accountability: la capacità di rispondere di ciò che si fa, in tempo reale, con prove e con decisioni. L'articolo 5, paragrafo 2, non dice "conserva i documenti". Dice "sii in grado di dimostrare" — il che presuppone una struttura capace di agire, non solo di archiviare.

Nel diritto societario italiano, questo si traduce in un principio che le imprese strutturate conoscono bene: l'adeguatezza organizzativa. L'impresa deve essere organizzata in modo adeguato rispetto alla natura e alla dimensione dei rischi che gestisce. Non è un optional. È una condizione di governo. Applicato alla privacy, significa che non basta sapere quali dati si trattano. Bisogna sapere cosa fare quando il trattamento va fuori controllo. Chi decide. Con quale mandato. In quale tempo. Con quali conseguenze se non decide. La differenza reale non è tra chi è compliant e chi non lo è. È tra chi ha documenti e chi ha una catena decisionale.

Le aziende che superano indenni un incidente di sicurezza non sono necessariamente quelle con le informative più accurate. Sono quelle in cui, quando squilla il telefono alle undici di sera con la notizia di un accesso anomalo, qualcuno sa esattamente cosa deve fare nelle successive due ore.

Torniamo al modulo. Quelle cinque domande uguali per tutti hanno una loro logica: standardizzano la raccolta, riducono i costi, permettono di gestire volumi. Sono efficienti. Ma sono anche, per definizione, indifferenti al contesto. Non sanno se chi scarica il white paper è una banca o un artigiano. Non sanno che tipo di dati gestisce quell'organizzazione, quali sono i suoi sistemi, chi sono i suoi responsabili.

E questa indifferenza è esattamente il problema. La compliance che si applica uguale a tutti è compliance che non ha capito niente di nessuno. È una forma di ordine che rassicura senza proteggere. Quando arriva il problema, non è il GDPR a parlare. È l'organizzazione. E se l'organizzazione non sa chi deve decidere, non è un problema di privacy. È un problema di governo dell'impresa. Il modulo non decide niente. Non l'ha mai fatto. Non era quello il suo compito. Il problema è aver creduto che bastasse.

La soluzione?

Io la chiamo Cybermetrica. E possiamo applicarla a molti altri settori dell’impresa.