Horace Mann diceva che “le abitudini sono come una fune: ne intrecciamo un trefolo ogni giorno e ben presto non riusciamo più a spezzarla”. E di abitudini incistate è pieno il nostro quotidiano lavorativo: alzi una mano virtuale, per esempio, chi continua a notare le “autorizzazioni al trattamento dei dati personali” – poste in quelle microscopiche clausole in calce, quando non sul retro di moduli in cui inseriamo i nostri dati – ai sensi della Legge n. 675/96.
Vi vedo, vedo la selva di mani.
Allora, cominciamo con la buona notizia: tra una manciata di giorni entra finalmente in vigore il “Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”, più conosciuto con l’acronimo GDPR (General Data Protection Regulation/regolamento generale sulla protezione dei dati).
Buona notizia perché, dopo anni di lotte per uniformità e armonizzazione all’interno dello spazio economico europeo, un primo importante passo in tale direzione è stato fatto proprio con l’approvazione, due anni or sono, del regolamento sulla “privacy”.
Ovviamente, da buoni italiani abbiamo anche fatto dell’altro: abbiamo avviato una selva di corsi di formazione, validi e meno validi, istituendo improvvide certificazioni e gestendo la novità normativa come un enorme bacino di consulenza; dall’altra, abbiamo anche autonomamente deciso che per adeguarci non ci volesse poi molto, per cui quasi tutto è stato rinviato al 2018, praticamente all’ultimo momento, se si considera che la prima bozza di GDPR risale ormai alla prima metà del 2012.
“Si fa così da anni è la confessione che il sistema non funziona”, per citare Edwards; ma ora, volenti o nolenti, siamo sull’orlo (abisso?) di un cambiamento radicale, che possiamo scegliere di subire passivamente – l’ennesimo adempimento della nostra quotidiana attività – o possiamo cogliere come occasione per produrre un cambiamento reale nelle nostre attività.
Abbiamo impiegato circa 15 anni a (non) capire quanto sia importante la tutela della nostra riservatezza, e ora dobbiamo rimettere tutto in discussione?
La protezione dei dati personali oggi
Non sono sicura se il regolamento sia arrivato tardi, o, al contrario, presto.
Tardi se si guarda agli scandali e agli incidenti di sicurezza che ormai coinvolgono quasi quotidianamente compagnie più o meno importanti, quando non direttamente le OTT: è quanto accade per Facebook, cui è costantemente rivolta la nostra preoccupazione di utenti/fruitori per l’uso disinvolto dei nostri dati, come spesso ci riportano le notizie di cronaca.
Non è un caso se, dopo il caso Cambridge Analytica, le Authority italiane – Privacy, Comunicazioni, Antitrust – si siano mosse praticamente in contemporanea per approfondire la vicenda, ognuna per quanto di sua specifica competenza.
A mia memoria, questo non era mai accaduto prima: un ulteriore indizio per comprendere quanto sfaccettate siano le problematiche legate al trattamento dei dati, non più relegabili in ambiti definiti a priori.
L’evidenza è che la nostra sicurezza è fallace, e molte volte anche utopistica: se è pur vero che “sicurezza 100%” è un concetto che non esiste né in natura, né in tecnologia – si dice che solo un pc scollegato dalla rete possa dirsi sicuro, e non è neanche vero … – stiamo imparando a coniugare sicurezza e riservatezza, nel privato, come nel pubblico: tra Piani Triennali per l’Informatica e Piani di Sicurezza, anche la PA, lentamente ma inesorabilmente, si adegua.
Antonio Samaritani, DG di AgID, non ha mai mancato di sottolineare come cyber security e privacy siano legate, ma non nel modo in cui a volte immaginiamo: se nel sentire comune, a una maggiore sicurezza corrisponde spesso una minore riservatezza, la realtà mostra, invece, evidenze diametralmente opposte.
Regole certe, processi definiti, ruoli prestabiliti: solo così è possibile che i dati siano davvero sicuri e accessibili solo per specifiche finalità e a soggetti determinati.
Da parte loro, sia Giovanni Buttarelli (GEPD) che Antonello Soro hanno più volte sottolineato i rischi collegati all’uso delle tecnologie – rischi per la democrazia e i diritti dei cittadini – rendendo evidente come le istituzioni delle quali fanno parte siano attente al tema: e qui basta richiamare il considerando 2 del GDPR per chiudere il cerchio virtuale, laddove ricorda che “i principi e le norme a tutela delle persone fisiche con riguardo al trattamento dei dati personali dovrebbero rispettarne i diritti e le libertà fondamentali”.
Diritti e libertà fondamentali che non sono assolutamente negoziabili.
Quella brutta parola che si chiama “accountability”
Il primo scoglio è dato dalla scomparsa delle “confort word”, parole al cui suono siamo così tanto abituati: ora i nuovi termini di accontability, data breach, data processor, data protection officer, assessement saranno le nuove definizioni con le quali confrontarci.
Per alcuni di essi, la traduzione italiana – anche nei testi ufficiali – perde di significato, e ne rende più confusa l’applicazione: penso alla traduzione delle figure del “data processor” e del “data controller”, che abbiamo riprodotto con “responsabile” e “incaricato”, e che rischiano non solo di non rendere giustizia alle differenze portate dal GDPR rispetto alla precedente normativa, ma anche, probabilmente, di portarci al di fuori di una omogeneizzazione normativa effettiva che non può non essere anche semantica.
Avete preparato i registri? Su compliance, assessement, trattamenti, soggetti
A un mese circa dell’applicazione del GDPR, ha poco senso parlare ancora di tappe: in questi ultimi due anni abbiamo alacremente e costantemente lavorato all’applicazione del GDPR, quindi… Dite di no? Dite che ancora in tanti, troppi di noi, abbiano necessità di fare un po’ di chiarezza?
Bene, allora proviamo a ricostruire, in estrema sintesi, cosa fare per non trovarci totalmente impreparati al 25 maggio.
Do per scontato che la prima (auto) analisi sulla compliance della propria organizzazione al GDPR sia stata fatta.
Ovviamente, la compliance è un processo, perfettibile, di certo non statico, che mira a raggiungere l’accountability: l’autoanalisi consente di verificare a che punto è questo processo, e scegliere le soluzioni e gli strumenti più idonei.
Non bastano i registri, e questo è un dato: senza la “valutazione d’impatto” su alcuni specifici trattamenti, il principio di accountability rischia di responsabilizzare eccessivamente il soggetto responsabile di un data breach, con possibile valutazione di “inadeguatezza” delle misure adottate.
Effettuare, nei casi previsti, una (D)PIA–Privacy Impact Assessement, consentirà di valutare e quantificare i rischi collegati ai trattamenti che possono presentare “un rischio elevato per i diritti e le libertà delle persone fisiche”, anche tenendo conto delle “categorie particolari di dati personali” di cui all’art. 9, comma 1
L’individuazione di tali trattamenti (e l’effettuazione della PIA su di essi) potrebbe rivelarsi fondamentale, dal momento che, in caso di data breach, la sostanziale inversione dell’onere della prova comporterà l’obbligatoria dimostrazione che il titolare ha adottato tutte le misure idonee a evitare la violazione di dati personali, a maggior ragione se trattasi di dati di tale tipologia: il registro – e i singoli registri – diventeranno, così, lo strumento principale – non l’unico – a disposizione, anche del Garante, per la verifica di trattamenti e misure di sicurezza adeguate.
Già, perché l’approccio alla protezione dei dati è sostanzialmente mutato anch’esso: scomparse le misure minime – quelle che garantiscono/garantivano, a priori, la conformità dell’operato del titolare – saranno ora i singoli trattamenti a guidare il livello di protezione per evitare trattamenti in violazione del regolamento. La sicurezza, quindi, sarà “adeguata” se supportata da una valutazione del rischio adatta, al di là e oltre le specifiche misure messe in atto, quali la cifratura.
L’individuazione dei soggetti coinvolti nei diversi trattamenti sarà, del pari, fondamentale: se il titolare è uno, i responsabili saranno/potranno essere tanti – interni o esterni, a seconda del “contratto o atto giuridico” previsto dall’art. 28 del GDPR, distinguendo tra “controller”, il titolare e “processor”, ossia chi effettua il trattamento; nuova, infine, la figura del Data Protection Officer, persona esperta della materia che farà da consulente per controller e processor, e, allo stesso tempo, da punto di raccordo tra questi e le autorità di controllo.
Nel frattempo, in Europa (e in Italia)
I Garanti europei stanno cercando di aiutare i propri cittadini a essere compliance con il Regolamento: il Garante francese, per esempio, ha messo a disposizione la versione beta di un software per effettuare la PIA; il Garante spagnolo un webtool per la compliance aziendale; il Garante belga un foglio di calcolo per la compilazione dei registri dei trattamenti.
Nel nostro Paese, il Garante Soro, ben consapevole dell’accidentato terreno sul quale il GDPR avrebbe trovato applicazione, ha avviato, sin dal 2017, una importante attività di disseminazione con tappe a tema da nord a sud, e la predisposizione di una serie di strumenti didattici: una guida all’applicazione del regolamento – aggiornata a febbraio 2018 – infografiche esplicative sui punti principali, materiale sul gruppo di lavoro Art. 29, e così via.
Manca – perché manca ancora – il decreto legislativo in attuazione della legge delega n. 163 del 25.10.2017, finalizzato ad adeguare la normativa nazionale alle disposizioni del regolamento. In realtà, la bozza c’è – è stata approvata nella seduta del Consiglio dei Ministri dello scorso 21 marzo – ma ha subito attirato le (giuste) critiche dei commentatori, in quanto in palese eccesso di delega: infatti, abroga l’intero “codice” di cui al D. Lgs. n. 196/2003, invece delle sole disposizioni con esso incompatibili, come previsto dalla delega stessa.
L’assurdo è che con opportune ma lievi modifiche, il vecchio codice era già sostanzialmente compliance alla nuova normativa: scelta, questa, che più di altre ha avuto/sta avendo sicuramente ripercussioni sulle procedure e sulle attività interne delle organizzazioni chiamate all’adeguamento, e “giustificabile” solo con il troppo poco tempo a disposizione per un esame approfondito, che, evidentemente, anche in questo caso è stato rimandato fino all’ultimo.
Una nuova organizzazione, interna ed esterna
Il GDPR, quindi, è sicuramente l’occasione per ripensare la struttura interna di grandi imprese e PA, nonché i rapporti con l’esterno, ma, ricordiamolo, chiunque può decidere, al di là della dimensione e dei trattamenti sviluppati, di perseguire una maggiore e migliore accountability; l’occasione per studiare il percorso del dato dall’interno all’esterno della propria organizzazione, per esempio, per capire come si è fatti, e se come si è fatti ci piace o meno.
Un ripensamento, una revisione, un rinnovamento che solo può portare grandi benefici.
Certo, non sarà un regolamento la panacea: ma nuove norme, condivise, e un più ampio ripensamento dei processi – con la cognizione di ciò che davvero si fa e della “sensibilità” dei dati che si trattano – può essere un ottimo viatico per la spinta a una maggiore sicurezza e una migliore comprensione e consapevolezza del mondo che ci circonda.
Avrete notato che non ho parlato di sanzioni, e non ne parlerò: perché non è il timore che deve portare all’adeguamento, ma la scelta di governarne i processi per tentare di comprenderne le logiche.
La consapevolezza, sempre, sopra ogni altra cosa.
Morena Ragone
