A due mesi dalla piena applicazione del regolamento UE General Data Protection Regulation, meglio conosciuto come GDPR, proviamo a fare un punto della situazione sull’adeguamento delle aziende e degli Enti a quanto previsto dalla nuova normativa sulla protezione dei dati personali, spesso erroneamente indicata come “legge sulla privacy”. Da quello che si può notare, l’obiettivo “compliance totale” è ancora lontano, ed è in dubbio se mai sarà raggiunto.
La cosa che salta subito all’occhio è il calo drastico, a partire dal 25 maggio, del numero di email contenenti informative e nomine che potrebbe far pensare che l’attività di adeguamento sia stata completata nei tempi. Anche se non è proprio così.
Molte aziende non hanno preso in considerazione la necessità di adeguamento, forse ancora in attesa dell’annunciato decreto legge che è stato approvato l’8 agosto e che deve armonizzare il cosiddetto “Codice Privacy”, codice in materia di protezione dei dati personali d.lgs 196/2003, con il Regolamento Europeo.
Altre aziende invece si sono attivate ma hanno preso la cosa “un po’ sottogamba”, pensando erroneamente di cavarsela con la solita valanga di informative inviate a destra e a sinistra, rischiando a volte il ridicolo come chi “essendo entrato in vigore il GDPR” invia la nuova informativa ai sensi della defunta L. 675/96.
Altre ancora, ma non sembrano la maggioranza, hanno intrapreso un percorso di adeguamento effettivo ma non tutte lo hanno ancora completato.
Quali i dubbi ancora aperti?
Impossibile qui disquisire su tutte le questioni che un adeguamento ben fatto dovrebbe prendere in considerazione: si può solo accennare che una buona metodologia potrebbe suddividere le attività in adeguamento formale, adeguamento organizzativo, adeguamento tecnico e governance.
Fra i tanti dubbi non ancora chiariti vi sono la necessità o meno della nomina di un DPO (Data Protection Officer, in italiano Responsabile per la protezione dei dati), quali siano le misure di sicurezza da applicare, quando sia necessaria e con quali modalità vada effettuata la Privacy Impact Assessment, e altri ancora.
Rimasti orfani delle misure minime di sicurezza definite nell’allegato B (il disciplinare tecnico del D.Lgs. 196/2003), i titolari del trattamento sono comunque obbligati a “mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, qualunque cosa ciò voglia significare. E allora via, ad applicare pedissequamente le misure minime. E basta.
Come si sono organizzate le imprese?
La maggior parte delle aziende si affida a consulenti esterni i quali, generalmente, rientrano in due categorie: i consulenti di estrazione legale (avvocati) e i consulenti di estrazione tecnica (per lo più informatici). Non mancano geometri, commercialisti, consulenti per la sicurezza sul lavoro, consulenti per certificazioni di qualità e chi più ne ha più ne metta.
Nulla in contrario, sia ben chiaro. Non è richiesta alcuna specifica qualifica, certificazione, laurea o distintivo per offrire una buona consulenza in tema di protezione di dati personali. Solo suggerirei alle aziende di valutare bene le competenze e l’esperienza di chi si propone come esperto. Non sono infatti molti gli esperti di “normativa privacy” che lo siano altrettanto di questioni tecniche relative alla sicurezza informatica, così come non sono molti gli informatici esperti di sicurezza informatica che lo siano anche di “normative privacy”, ed entrambe le competenze sono indispensabili per poter conseguire un livello di adeguamento almeno accettabile.
I vari programmi e tool per l’adeguamento al GDPR che promettono soluzioni facili e su misura non possono da soli essere la soluzione se chi li utilizza non ha l’esperienza e le conoscenze necessarie.
DPO sì o no?
Questa considerazione ci porta al capitolo DPO, che merita qualche riga a parte. Come sappiamo, gli Enti pubblici devono obbligatoriamente nominare un DPO ma per tutte le aziende si apre un dibattito. Anche le FAQ del Garante non fanno piena luce sul da farsi e le indicazioni della norma (obbligo del DPO per trattamento su larga scala di dati particolari oppure trattamenti che richiedano il controllo regolare e sistematico degli interessati su larga scala) sono alquanto fumose. Cosa si intende per “larga scala”? L’unica luce, anche se molto lieve, viene dalle linee guida sul Data Protection Officer dei Garanti Europei, il documento WP243, che consiglio di consultare.
Tornando alla situazione “dopo 25 maggio”, vige una totale confusione anche per quanto riguarda il compenso dei DPO. Il risultato di una rapida ricerca fra i bandi per la nomina del DPO proposti da Enti pubblici riporta risultati fra i più vari. Si va dai 1.500 euro annui, offerti come base (al ribasso) da alcuni istituti scolastici, ai 50.000 euro messi a disposizione da alcuni Enti, con varie declinazioni nel mezzo.
Per fortuna, almeno i compiti del DPO sono definiti dall’art. 39 del GDPR. Oppure no? So di colleghi che si sono trovati a dover prendere in mano situazioni a dir poco catastrofiche, altro che informare, fornire consulenza, sorvegliare l’osservanza del regolamento.
Insomma, a due mesi dalla piena applicazione del regolamento europeo c’è ancora tantissima confusione. È vero che un processo di adeguamento non termina mai. È vero che il paradigma della ruota di Deming, che si insegna in tutti i corsi dove si parli di gestione, ci dice che bisogna sempre ritornare alla partenza. È vera l’italica abitudine di aspettare sempre l’ultimo minuto. Però c’è anche da dire una cosa: visto anche il tempo di gestazione avuto da questo regolamento, avremmo potuto aspettarci qualcosa di più.
Paolo Giardini
