• 06 44233388 | 0824 967757
  • info@masciaeassociati.it

Archivio mensileMaggio 2018

Data protection e GDPR: primo giro di boa – Alberto Mascia

Countdown e tempesta di mail

Il countdown, prima, e la tempesta di mail, dopo. Facile prevederlo. Il polverone è stato sollevato, da tempo.

«Prima solleviamo la polvere e poi diciamo di non poter vedere»,

ricordava George Berkeley.

La tanto nota ‘scadenza’ del 25 maggio è giunta, ignorata o attesa, da tempo. Dalla ricerca della ‘privacy perduta’ alla ricerca della data protection compliance mal voluta, verrebbe da dire. Un po’ ovunque, ricerche di escamotage che semplifichino la complessità, identifichino, in un battito di ciglia, cosa fare e come farlo velocemente, salvando capra e cavoli, scongiurando ogni pericolo di possibile sanzione futura. Lo sviluppo della civiltà e l’affermazione di specifici valori, diritti e libertà dovrebbero essere i veri binari su cui deve scorrere la storia. Di tutti. La privacy, così come i dati personali, rilevano, lo sapevamo allora, lo sappiamo ancor più oggi. Essi rappresentano un patrimonio preziosissimo, attuale e potenziale per enti, aziende, professionisti, dovrebbero esserlo per ognuno di noi, eppure quando si parla di privacy e data protection ancora oggi si assistono a improvvisate ed estenuanti corse contro il tempo. Perché? Alcune riflessioni di tipo sostanziale, ma anche formale.

Consapevolezza e privacy

Diceva Henry David Thoreau:

«Non conosco un fatto più incoraggiante dell’indiscutibile capacità dell’uomo di elevare la sua vita attraverso uno sforzo consapevole».

La consapevolezza è uno spazio che apre la mente e genera nuovi modi di percepire, di pensare, di agire. Generare consapevolezza è necessario, ora come mai finora, per riconoscere l’importanza e la rilevanza del diritto alla protezione dei dati personali, nella cultura, nella quotidianità, nel lavoro e nella vita di relazione, personale, commerciale, professionale, prima ancora che nelle affermazioni di principio e nelle formule, utili, necessarie, ma null’affatto sufficienti. Cultura del fare e non del dire. Dalla consapevolezza alla accountability, responsabilizzazione, ma anche attenzione, capacità di rispondere ‘presente’, quando si parla di diritto alla protezione dei dati personali. Questo primo passaggio è essenziale. Potrà parlarsi di vera consapevolezza e responsabilizzazione, se l’attenzione e l’approccio alla protezione è orientato alla cultura della proroga?

Fa riflettere leggere ovvero ascoltare commenti che, ancora oggi, sembrano parlare di privacy e di data protection come di un fardello sacrificabile, come se si stesse parlando di un qualcosa che è esterno ed estraneo a noi, dell’impatto di una meteora sconosciuta sul pianeta terra. La consapevolezza parte da qui. L’accountability anche.

Quali ombre, quali vuoti: semplicità nella complessità

I passi di avvicinamento alla data del 25 maggio sono stati scanditi da verbi al futuro – ‘vedrò’, ‘farò’, ‘provvederò’ -, da speranze di proroghe, appunto, da attese spasmodiche di vademecum in grado di garantire una risposta celere, immediata, economica, e dare linfa, ancora una volta, al ‘fai da te’ dell’emergenza. Emergenza, ma anche complessità, per chi non ha seguito l’evoluzione delle norme e dei lavori – del Garante privacy, del Gruppo di garanti europei (WP29, oggi Comitato per la protezione dei dati personali), degli operatori, della giurisprudenza – in tema privacy e data protection. Che l’emergenza sia interdipendente con la complessità sembra cosa ormai assodata. D’altro canto, la mole, quasi sempre smisurata, di adempimenti che vengono richiesti, nei settori più disparati, a professionisti, imprese, enti, non agevola la ricerca di semplificazione e di soluzioni concrete, specie se non pianificata con largo anticipo.

Dovremmo riscoprire tutti, dal legislatore agli operatori di ogni settore, l’importanza della semplicità, che è da sempre alleato assai prezioso per ogni pianificazione e acquisizione della consapevolezza, in ogni settore, senza la quale ogni discorso di accountability e compliance inevitabilmente cade ovvero è fortemente compromesso.

I ritardi della data protection compliace

Un pò ovunque una corsa di enti, aziende, professionisti, all’adeguamento alle nuove (per modo di dire) norme in tema di data protection (all’anagrafe G.D.P.R.). Un ritardo che è figlio di tante ragioni, e che fa eco al ritardo che a livello legislativo, spesso o quasi sempre, si verifica allorquando occorre armonizzare la legislazione interna a principi aventi portata comunitaria. Ritardo di processi legislativi, e prima ancora culturali, cui fanno seguito spesso ritardi di processi organizzativi e gestionali. Il comparto data protection ne è solo un esempio. Le recenti vicissitudini dello schema di decreto legislativo di adeguamento/armonizzazione della normativa nazionale rispetto alle prescrizioni del G.D.P.R. hanno rilevato un cambiamento di impostazione dello stesso legislatore nazionale, che prima aveva optato per l’abrogazione dell’intero Codice per la protezione dei dati personali (D.lgs. 196/2003), il cd. Codice privacy, salvo poi, nell’ultima bozza presentata per l’esame alle Camere, optare per la novellazione dello stesso, abrogando le disposizioni incompatibili, modificandone alcune e introducendone altre. E il percorso non è ancora concluso.

Uno stato dell’arte ancora non definito, dunque, dal punto di vista della citata armonizzazione normativa, ma che avrà un indiscusso nuovo protagonista, il G.D.P.R., direttamente applicabile e a cui ci si dovrà attenere, per garantire una adeguata data protection compliance. I presupposti di semplificazione normativa, chiarezza interpretativa e facilità applicativa, che hanno accompagnato il processo di armonizzazione ancora in fieri, sono un esempio emblematico di come serva oggi, come ieri, una maggiore e migliore capacità di confronto, sintesi e operatività tra tutti coloro che, a vario titolo, vivono quotidianamente l’importanza della privacy e dei dati personali.

Al di là di ogni riflessione sul percorso legislativo, restano i principi e le prescrizioni (da rispettare, nell’ottica della compliance), i processi (da ideare e controllare, privacy by design, privacy by default, Data breach, DPIA, esercizio dei diritti dell’interessato, ecc.) e i tavoli (da organizzare, organizzativo e tecnico), le policy interne (da attuare, privacy policy, cookie policy, ecc.), i documenti (da collazionare, Registro del trattamento, informative, formule di consensi, clausole, linee guida interne, ecc.), la formazione (da promuovere, pianificare e tracciare).

E, prima di tutto, la cultura. Un percorso di apprendimento costante, di verifica sul campo, di controllo, aggiornamento e modifica, che tanto sembra rivestire il carattere della gradualità, continuità e della normalizzazione (di processi, soluzioni, misure). Al di là di ogni discorso sulla compliance formale, oggi deve iniziare un nuovo percorso culturale e operativo verso la normalità nell’approccio e nelle metodologie, da parte di tutti, operatori e interessati. Diversamente, gli operatori rischiano di disperdere energie preziose, facendo corse affannose dell’ultim’ora, le aziende perdono opportunità di pianificare e sviluppare il proprio business ‘centrando’ realmente l’attenzione sulla persona, e gli interessati perdono un’occasione importante per esercitare diritti di portata significativa.

Quali azioni, quali processi

Anzitutto, una questione di mindset, di approccio, di cultura, di modus operandi, di consapevolezza. Una consapevolezza che è capacità di essere presenti, individuare figure, ruoli, poteri, responsabilità, da un lato, organizzare documenti, processi, misure, strumenti, dall’altro. Una mappa mentale, organizzativa e operativa che identifica e aiuta a pianificare e realizzare il lavoro da fare, per rispondere con convinzione al principio di accountability.

L’approccio ispirato al dubbio e all’aggiramento deve lasciare lo spazio alla concretezza e al committment, all’impegno di pianificare (privacy by design), attuare, dimostrare (accountability) la propria attività e il proprio ruolo nell’ottica della data protection compliance, al di là, lo si ripete, di ogni profilo formalistico. Un approccio che sia contagioso e uniforme in ogni risorsa privacy, processo, misura e attività.

In tale direzione, attenzione non soltanto ai principi e ai processi, ma anche alle linee guida dei Garanti europei (da oggi Comitato europeo per la protezione dei dai personali), le cui interpretazioni sono essenziali non solo perché mirano a fornire chiarimenti o far riflettere su determinati temi, ma anche e soprattutto perchè accompagnano quel percorso di crescita di consapevolezza e accountability che contribuisce a rendere lo sforzo culturale di cui parlava Thoreau un vero e proprio momento di scelta.

Un’ultima chiosa sul sistema sanzionatorio. Sarà importante consultare i lavori del Comitato per la protezione dei dati personali per avere informazioni chiare, sintetiche e trasparenti che non scoraggino e intimoriscano, facendo riferimento a massimali di sanzioni amministrative pecuniarie, ma al contrario favoriscano l’emergere di una maggiore condivisione di prassi, creino un senso di appartenenza a una tematica di rilevanza europea (e mondiale), e contribuiscano ad affermare una visione realistica di quello che potrà essere fatto, prima di tutto in chiave di prevenzione, e poi in ottica di eventuale risposta sanzionatoria, adeguata alla specificità del caso.