Il Regolamento Europeo UE 2016/679, noto come GDPR, fu emanato circa due anni or sono e, come ampiamente noto, il 25 maggio 2018 è diventato pienamente vigente e obbligatorio. Dopo circa 20 mesi di totale silenzio, negli ultimi quattro si è scatenato una sorta di tsunami – anche sull’onda dei fatti Facebook – con decine di soggetti (tra i quali molti nati recentissimamente “ad hoc”) scatenati a proporre soluzioni spesso miracolistiche e automatizzate, software applicativi “faccio-tutto-io”, pseudo-certificazioni a valle di corsi tipo “chef stellati in 10 lezioni per corrispondenza” e così via.
GDPR, colossi del web in cerca di consenso
Se si considera poi che tutti siamo bombardati dalle email dei colossi del web che, sempre alla loro maniera, cercano di ottenere consensi più o meno informati per ricostituire in qualche modo verginità perdute, si capisce il disorientamento delle piccole e medie entità professionali e imprenditoriali (le grandi la sanno molto più lunga al riguardo…) circa cosa fare e, soprattutto, con chi fare.
Ecco, pertanto, alcune considerazioni, scritte nella massima libertà di pensiero e buonafede
I 173 “considerando” del GDPR
Il GDPR (acronimo inglese, ma mi riferisco alla traduzione italiana, reperibile ampiamente sulla rete) è costituito da 99 articoli, ma preceduti da ben 173 “considerando”! Diversamente da quanto accade nella tecnica legislativa italiana i “considerando” non sono meri riferimenti burocratici a testi precedenti o riferimenti formali di abolizione e/o integrazione di norme precedenti), ma vere e proprie considerazioni concettuali ed etiche che aiutano a capire il senso del disposto degli articoli veri e propri. Se ne raccomanda, quindi, la lettura e l’approfondimento.
Il principio di “accountability”
Il GDPR è redatto in stile di common-law anglosassone. Mentre noi nelle disposizioni del nostro legislatore (e soprattutto delle famigerate norme attuative) siamo abituati a misurare di quanto l’insegna di un bar può sporgere in centimetri dalla facciata di un palazzo, lo stile anglosassone, sulla base del principio di accountability (leggi responsabilizzazione, al di là di una equivocabile interpretazione a orecchio di prima istanza) tende a fornire prescrizioni di tipo concettuale, lasciando al destinatario (in questo caso il “Titolare del trattamento”) la responsabilità di sviluppare, in termini attuativi e professionalmente creativi, la prescrizione stessa.
Le misure minime di protezione dei dati
Un esempio tipico di quanto espresso al punto precedente è il caso delle misure di protezione per i dati. Il GDPR, nell’arco dei suoi 99 articoli, ne parla “solo” all’art. 25. Le misure minime sono sparite. Questo è stato interpretato come una “minor attenzione” da parte del legislatore circa l’argomento, al punto che pochissimi ne parlano. In realtà il legislatore ha ribaltato sul Titolare (e i suoi collaboratori e consulenti) l’onere della progettazione e attuazione di un sistema di protezione continuamente in aggiornamento per fronteggiare la continua escalation degli attacchi e dei rischi esistenti. Cancellando le misure minime, si abolisce un paravento assolutorio che nel giro di un paio di mesi risulterebbe superato e inadeguato e si affida alla capacità e senso di responsabilità del Titolare il continuo adeguamento dello scudo protettivo in funzione di una dinamica (nel tempo) analisi dei rischi.
Indipendenza nella scelta del DPO
Di conseguenza a quanto sopra non si comprende bene l’occupazione massiccia che il contesto degli avvocati (tra i quali peraltro conto numerosi amici che stimo e apprezzo) sta effettuando proponendosi come formatore di esperti e di DPO. Dobbiamo onestamente riconoscere che la lettura e interpretazione del GDPR assomiglia molto allo studio di un linguaggio di programmazione, di un manuale di logica formale, in cui entità e relazioni sono esplorabili sulla base di tecniche analitiche comunemente in possesso di analisti di sistema, di responsabili di progetto, di analisti di processo ed esperti analoghi. Insomma il GDPR è ampiamente accessibile a chiunque, per esperienza, professione e cultura sia in possesso di una adeguata capacità analitica, essendo pochissimi i riferimenti a concetti tipicamente e accademicamente “giuridici”. Di converso non è così semplice per un avvocato impadronirsi di concetti tecnologici di rete, di protocolli TCP/IP, di algoritmi crittografici, di funzionalità di vulnerability scanning. Quindi lasciamo le porte aperte, dimentichiamo l’italica propensione alla creazione di corporazioni e circoli chiusi e lasciamo che le aziende si scelgano i propri consulenti e DPO, come d’altra parte il GDPR propone, con spirito d’indipendenza e capacità di valutazione del proprio compagno di viaggio.
Il sito del Garante fonte primaria di informazioni
Un’ultima nota circa il bombardamento delle newsletter di cui siamo soggetti. Ne siamo colpevoli anche noi, ma le riserviamo ai nostri clienti che ce le hanno esplicitamente richieste. Con l’occasione ricordiamo che per rimanere aggiornati sulla evoluzione, in questi tempi particolarmente dinamica e attesa, di informazioni riguardanti l’applicazione del GDPR, la fonte principe resta il sito del Garante italiano. Collegarsi al medesimo una volta al giorno non so se tolga il medico di torno, ma sicuramente insegna molte cose e sfata molti miti.
