A quasi due anni dall’entrata in vigore del GDPR, il bilancio del percorso di compliance per gli ordini professionali italiani è negativo. Si prefigura la messa a rischio della tutela dei dati personali degli iscritti agli albi, ma anche degli utenti dei vari servizi offerti. Stato dell’arte e ostacoli da rimuovere.
Il nodo dei nodi: la scelta del DPO
Verificando a vario titolo alcune realtà professionali, abbiamo avuto modo di riscontrare che alcuni Ordini si sono fatti trovare impreparati all’entrata in vigore del GDPR – nonostante il preavviso avuto sin dal 2016 – ed hanno svolto adempimenti minimi, hanno effettuato le nomine di Responsabili Protezione Dati internamente, spesso a Consiglieri improvvisati e con pochissime conoscenze sui compiti e sulle responsabilità. Tali nomine inoltre, sempre in alcuni casi, sono state fatte senza alcun criterio o forma di selezione ed in alcuni casi sono stati scelti professionisti con già diversi incarichi che ad oggi difficilmente sono riusciti a gestire per tempo e distanza.
Ancora oggi si trovano realtà con pochi adempimenti svolti (il più delle volte con documentazione copiata da qualche circolare, da qualche manuale con allegato formulario); chi ha avuto la forza o la volontà di spendere per comprare un software o una consulenza, è riuscito almeno ad avere un pacchetto adeguato di documenti ed un registro informatico; troppo spesso però si riscontra che gli strumenti acquisiti e presenti, non sono stati compresi o non sono utilizzati nelle loro piena potenzialità dagli incaricati e soprattutto sono percepiti come fastidiosi adempimenti figli di una crescente burocrazia, non ne è quindi percepita la finalità, il fondamento giuridico e quindi l’importanza.
In buona sostanza, chi si appresta a sostituire un Responsabile della Protezione Dati della prima fase, cosa si ritroverà da verificare? Pensiamo ad esempio ai nuovi eletti che vengono nominati internamente RPD, perché ritenuti esperti sulla materia solo considerando un’eventuale presenza ad corso formativo di qualche ora, e che per compensi simbolici o assolutamente esigui, si trovano a dover riscontrare che quello che dovrebbe essere già presente, non è stato fatto; pensiamo anche a quei colleghi che si propongono oggi professionalmente nel ruolo di consulenti e di responsabili (a costi oggi onesti e non sproporzionati, per un impegno che svolgeranno sicuramente con la massima diligenza e professionalità), che si aspettano che i propri predecessori abbiano lasciato almeno una relazione, che abbiano almeno formato gli incaricati e che abbiano nella prima importante fase attuativa sensibilizzato su questa importante materia almeno il Presidente ed i membri del Consiglio, ma che invece – dopo quasi due anni – si trovano tutto da fare, anzi da ricostruire, perché non aver fatto niente o poco è meglio di aver fatto in modo errato, ma il risultato finale è il medesimo, ovvero aver svilito l’importanza e la percezione di una materia sempre più attuale e che è e sarà a nostro avviso sempre più importante.
Ordini professionali, adempimento GDPR “passivo”
Ma veniamo a cosa ci si aspetterebbe di trovare: sicuramente delle informative non generiche, ma attinenti agli effettivi trattamenti effettuati, elenchi di responsabili esterni aggiornati e correttamente nominati, un’attenta analisi del sistema informatico e dei programmi gestionali utilizzati, almeno una relazione annuale dello stato di quanto fatto e quanto programmati da fare, un registro dei trattamenti informatico aggiornato e non cartaceo che non sia la stampa di un programma ma che abbia un attinenza con la materia professionale gestita e trattata dall’Ordine (non è a nostro avviso più accettabile trovare sempre le stesse descrizioni nonostante cambino le materie trattate dai titolari diversi), un’analisi dei rischi per i dati trattati, se necessaria una valutazione di impatto se si presentano rischi elevati per i diritti e le libertà degli interessati (e se si utilizzano nuove tecnologie).
Oggi quindi tra le maggiori difficoltà che si incontrano – a prescindere dagli errori commessi e dalle dimenticanze più o meno gravi – rimangono le difficoltà di comprensione dell’importanza di queste norme, degli adempimenti di sicurezza da porre in essere e delle regole da applicare che dovranno essere suggerite con forza per la salvaguardia di tutti i soggetti interessati ai vari trattamenti dei dati.
Il DPO considerato “ostacolo” e non “risorsa”
Dispiace dover riscontrare che il ruolo del Responsabile della Protezione dei Dati personali non sia stato ancora compreso e che non venga sfruttato per le potenzialità che avrebbe. Troppo spesso accade infatti che questa figura venga nominata e non venga considerata come un vero e proprio consulente, come una risorsa: non viene infatti coinvolta nelle scelte organizzative, non viene coinvolta in caso di “incidente” tecnico, viene spesso lasciato in disparte perché “percepito” come un ostacolo all’attività e funzionalità del Consiglio dell’Ordine stesso.
Ovvio, la collaborazione nasce dalla fiducia reciproca e nel rapporto che il consulente deve instaurare con gli organi dirigenziali dell’Ordine, ma anche con i singoli incaricati; per raggiungere ottimi risultati in termini di complementarietà con la materia del trattamento e protezione dei dati, sarà quindi a nostro avviso essenziale che l’RPD venga portato a piena conoscenza della storia e dell’organizzazione interna dell’Ordine con il quale sta lavorando.
Il Responsabile della Protezione dei Dati, come consulente dovrà a nostro avviso osservare le dinamiche organizzative interne delle segreterie e, senza alcun giudizio iniziale, ascoltare ed osservare come viene svolto il loro lavoro quotidiano, la routine organizzativa che si tramanda da segretaria a segretaria e da Consiglio vecchio a Consiglio nuovo.
Ordini professionali, come rimettersi sulla giusta strada
Oggi un consulente esperto su questa materia che si trova ad accettare incarichi in situazioni da gestire in diffidenza o da ricostruire, sa che prima di iniziare il proprio lavoro dovrà convincere con aiuti / pareri e relazioni orali e scritte il Consiglio, dovrà spingere affinché non ci sia solo un adeguamento “documentale” a sterili adempimenti formali ma soprattutto un adeguamento “mentale”: del personale dipendente in primis e contemporaneamente dei consiglieri in carica, solo nel momento in cui la normativa sarà compresa ed accettata, sarà effettivamente garantita la trasparenza, l’uso corretto delle nuove tecnologie e quindi la protezione dei dati.
Spesso i Consigli sottovalutano anche le scelte tecniche e tecnologiche da adottare; su queste scelte oggi dovrebbe essere sempre coinvolto il consulente incaricato per poter valutare insieme quali siano i requisiti tecnici più sicuri per svolgere i servizi necessari da gestire o da esternalizzare sempre nell’ottica di garantire la sicurezza dei trattamenti dei dati personali degli interessati.
Si riscontra che negli Ordini professionali spesso non vengano percepiti i rischi ed i potenziali danni che possono essere subiti dagli iscritti: non vengono percepiti i rischi legati alla gestione dei dati degli albi professionali, dei dati previdenziali, dei dati di giustizia interna, alla gestione delle caselle di posta ordinaria e posta certificata.
Da questa analisi si evidenzia che in questo specifico settore, che sarebbe dovuto essere a nostro avviso più attento, molti errori sono stati compiuti e molte cose possono e devono essere ancora migliorate, ma ciò potrà accadere solo alzando il livello della professionalità e della cultura delle materia da entrambe le parti.
