E’ una semplice coincidenza, una casualità ma la circostanza che l’informativa per il trattamento dei dati personali del D. Lgs. 196/2003 fosse disciplinata dall’art. 13 e che anche il GDPR, indichi il contenuto dei requisiti delle informazioni per l’interessato sempre all’art. 13, è un elemento che dovrebbe portare l’utente della rete, ed in particolare un potenziale cliente, a valutare chi si propone come suo fornitore. Non è infatti raro il caso di imbattersi in informative privacy che, a scanso di equivoci, anche perché nel più ci sta il meno, sono così formulate:

"Gentile Cliente, ai sensi dell’art. 13 del D. Lgs. 196/2003 (di seguito “Codice Privacy”) e dell’art. 13 del Regolamento UE n. 2016/679 (di seguito “GDPR 2016/679”), recante disposizioni a tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, desideriamo informarLa che i dati personali da Lei forniti formeranno oggetto di trattamento nel rispetto della normativa sopra richiamata".

All’apparenza nessun problema, salvo che l’art. 13 della vecchia Legge Privacy, il D. Lgs. 196/2003 è stato abrogato dal successivo D. Lgs. 101/2018. Non è una disattenzione da poco quella di inserire in un’informativa un articolo abrogato, ma un segnale di come le policy vengano ancora costruite con scarsa attenzione e come la privacy ancora sia un argomento a cui non viene dedicata la dovuta attenzione. Le notizie di continui attacchi ransomware e furti di dati, lo spamming continuo, il phishing e gli avvertimenti del Garante non sono stati ancora sufficienti per aumentare l’importanza della protezione dei dati personali e incrementare nell’utenza il livello di consapevolezza e attenzione sull’importanza della propria riservatezza.

Per un’azienda, ai fini pratici e delle possibili conseguenze sanzionatorie, inserire un inutile ed abrogato articolo di un codice all’interno della proprie informative non è certo un problema. Tuttavia per quella parte di utenza, ancora poca ma si spera in aumento, che pone l’attenzione su dettagli fondamentali per un’azienda, è un segnale che viene valutato con attenzione. E’ la teoria della finestra rotta che, nata in ambito sociale e criminologico, trova applicazione anche al mondo dell’economia e alle realtà aziendali. Un piccolo particolare non curato può portare a successivi danni: una finestra rotta non riparata o sostituita prontamente rappresenta un buco attraverso il quale chiunque potrebbe entrare e avere successive conseguenze sui nostri affari. E se un foro di ingresso, ancorché piccolissimo, viene oggi offerto a chi da questi minuscoli spazi riesce a creare veri e propri trafori per rubare dati e metterli in giro, ovvero ricattare un’azienda, è evidente come l’attenzione di un imprenditore debba essere maggiore anche in questi dettagli.

E’ stato più volte posto in evidenza come il GDPR non si riduca alla firma “della privacy” e ad un buon antivirus. Specialmente per un’azienda, ancorché di minime dimensioni, il GDPR è un insieme di attività fatto di aspetti informatici ma anche legali, informative, lettere di incarico e formazione del proprio personale. Non farlo espone a rischi che vanno oltre possibili sanzioni a tanti zeri da parte del Garante. Danni di immagine, reputazione, affidabilità sul mercato, perdita di dati, pagamento riscatti e non solo.