Cookie free: nessun "biscotto" per spiare i lettori. Sono in corso di eliminazione i link di facebook, che tracciano chi clicca su "mi piace" o "condividi"

Qual è il modo più efficace per conformarsi al GDPR?

Privacy e sicurezza - Andrea Monti - 26 febbraio 2018

Non è ancora nemmeno decorso il famigerato termine del 25 maggio che i tentativi di applicazione del GDPR hanno già mostrato il suo peccato originale (quello di essere una norma troppo ambiziosa, tanto da essere praticamente inapplicabile) e l'incapacità irresponsabile delle istituzioni, che si riducono all'ultimo momento per armonizzare il Codice dei dati personali con il Regolamento, non prima di avere emanato leggi palesemente contrarie - nello spirito e nella sostanza - a quello che in Europa era stato deciso.

Penso alla incredibile norma sul divieto di riuso dei dati genetici per finalità di ricerca, o alla confusione generata dalla legge che, confermando l'esistenza della figura del responsabile del trattamento ai sensi degli articoli 4 e 29 del Codice dei dati personali, pone problemi di coerenza con la figura del responsabile istituita dall'articolo 28 del GPDR. O alla sua inattività nell'affrontare questioni chiave per un'applicazione ragionata e ragionevole del Regolamento europeo come, per esempio, l'esclusione delle ditte individuali, delle società di persone e dei professionisti dalla nozione di "interessato", quando operano nell'ambito delle attività imprenditoriali e non come privati cittadini.

C'è da sperare che la commissione nominata presso il Ministero di giustizia, che sta scrivendo il decreto di armonizzazione fra la norma italiana e quella comunitaria, prenda in considerazione questo tema che, se gestito bene, semplificherebbe gli adempimenti a carico dei titolari, liberando risorse economiche e organizzative da dedicare ad ambiti di conformità normativa molto più critici, come il trattamento dei dati (ex)sensibili o la formazione di Data Protection Officer effettivamente adeguati al ruolo che devono ricoprire.

E già che siamo in argomento, nonostante "GDPR guru", "Privacy Ninja" e "Certified DPO" stiano spuntando come funghi dopo la pioggia- come anche i "master", i "corsi di alta formazione" e diplomifici di varia natura - c'è una carenza di figure professionali realmente adatte al ruolo. E spero che nessuno possa pensare che la frequenza di tre mesi di corso sia sufficiente per acquisire competenze così trasversali e complesse come quelle necessarie allo scopo.

A questo caos normativo si aggiunge la campagna di comunicazione dell'Autorità garante per la protezione dei dati personali che promette "tolleranza zero" per chi non si adegua.
Ma, con buona pace del Garante dei dati personali, la realtà è che non sarà possibile controllare tutti i titolari del trattamento - o anche una parte rilevante di essi. Non c'è abbastanza Guardia di finanza per fare queste verifiche, e men che meno personale interno dell'Autorità.

Quindi, nella pratica, tutto il fracasso fastidioso e irritante generato dalle grancasse sul GDPR si risolverà - come già accade, peraltro - in un po' di carta, qualche procedura e non molto di più. E visto che la probabilità di essere "verificati" dal Garante è inferiore a quella di subire una verifica fiscale, se proprio dovesse capitare di avere "visite", come si dice a Roma a chi je tocca, nun se 'ngrugna.

Specie fra chi - come ampi settori industriali delle PMI italiane - non tratta dati particolarmente critici, infatti, non mi stupirebbe un approccio di tipo puramente formale. Tutto sommato, anche se dovesse arrivare una sanzione sarebbe grandemente inferiore al costo di una inutile e inefficiente conformità normativa.

Ma, in cauda venenum, il vero fattore bloccante per un'applicazione seria del GDPR è l'impossibilità di esigere concretamente dalle multinazionali del software e dei servizi ICT una effettiva assunzione di responsabilità per il rispetto dei principi di data protection by design e by default.

Al di la di statement su blog ufficiali o clausole più o meno generiche, nessuno di questi soggetti dice chiaramente di essere al 100% conforme al GDPR e di essere disposto ad assumersi, contrattualmente, la responsabilità in caso questo non fosse vero.
Detto in termini più espliciti, questo significa che il "barile" della responsabilità per l'adempimento al GDPR si ferma sulle spalle degli utenti grandi e piccoli di servizi ICT.

E allora, il modo più efficace per conformarsi al GDPR è stipulare due polizze assicurative: una per responsabilità civile e l'altra per la copertura delle spese giudiziarie.