Il Regolamento Europeo 2016/679, meglio conosciuto come GDPR è pienamente applicabile da ormai più di un anno, eppure ciò che balza agli occhi sono gli effetti di una scarsa campagna di sensibilizzazione e formazione sull’importanza di offrire una permeante tutela dei dati personali.
Il paradosso di un adeguamento “take-away” al Gdpr
Il paradosso emergente si manifesta con un aumento esponenziale dei meri adempimenti documentali a cui però non corrisponde un’effettiva consapevolezza dell’importanza del bene protetto. Le aziende italiane, paiono aver accolto l’avvento del GDPR come simbolo di un ulteriore, sterile e talvolta oneroso adempimento a cui far fronte, una sorta di tassa indiretta insomma, ragionamento che rischia di svuotare di contenuti le disposizioni insite nella norma e di vanificare il colossale bilanciamento di diritti che una revisione così profonda della materia comporta, quel passaggio dalla forma alla sostanza che il legislatore europeo si proponeva appare ancora oggi un’utopia.
La forza propulsiva che ha spinto le aziende del bel Paese ad adeguarsi pare rintracciabile, in fin troppi casi, nelle disposizioni dell’art. 83 della suddetta norma, dove si apprende l’ammontare massimo delle sanzioni in caso di violazioni.
Il prodotto di un simile approccio è l’esplosione di una sorta di fanatismo da adeguamento take-away o addirittura self-made portato a termine con mezzi di fortuna (leggi: software per adeguamenti in piena autonomia) che hanno come risultato una maggiorazione del solo numero di documenti (più o meno conformi al testo normativo) all’interno dei fascicoli aziendali. Questo modello comportamentale, oltre a comportare una palese massimizzazione del rischio di esporsi alle tanto temute sanzioni, manifesta una superficialità nella lettura della norma.
La tutela dei nostri dati personali
Sarebbe lecito, per un buon osservatore, vedere il GDPR come figlio di un periodo storico in cui i dati personali viaggiano con una frequenza e intensità inimmaginabile fino a pochi anni. Un’evoluzione che a grandi passi conduce verso una dematerializzazione massiva non solo di documenti, ma anche di relazioni sociali, amicizie e rapporti professionali, la cui durata è sempre più spesso quella di un click.
Sebbene infatti, come direbbe Zygmunt Bauman, l’uomo di oggi sia sdoppiato in una versione offline e una online, ciò che non è ancora chiaro nel comune pensiero è che questo sdoppiamento ha come punto d’unione qualcosa di fondamentale, ovvero i nostri dati personali. In tal senso un legislatore avveduto, prudente, talvolta severo tenta di inserire delle tutele che investano il doppio binario del nostro essere spingendo il Titolare del trattamento all’utilizzo delle misure necessarie per offrire adeguate garanzie.
Il Regolamento UE 2016/679 quindi si inserisce in un ambiente fortemente condizionato dalla concezione che il flusso dei nostri dati personali sia così comune da essere inteso come normale e di rado ciò che cataloghiamo come ordinario desta preoccupazione, sicché addirittura l’interessato (il soggetto i cui dati vengono trattati) avverte spesso come minimi i rischi di una circolazione incontrollata di dati, essendo spesso lui stesso a renderli pubblici senza particolari preoccupazioni.
Le conseguenze del tracciamento dei nostri dati
Al netto di queste riflessioni, si palesa, quindi una tendenza a sottovalutare l’importanza di un tracciamento dei dati effettivo, di un atteggiamento prudente, non solo da parte di chi è investito di compiti che contemplino un connaturato trattamento di informazioni personali, ma, talvolta, dagli stessi interessati. Eppure la storia recente ci insegna quanto un utilizzo indiscriminato delle informazioni personali possa portare a conseguenze colossali, basti pensare al caso Cambridge Analytica che bene ha dato ragione a determinate profezie catastrofiche investendole di nuova dignità e di un senso di realismo inaspettato.
Il GDPR si fa promotore di un cambio di coscienza che un soggetto con l’avvedutezza del buon padre di famiglia dovrebbe accogliere di buon grado, senza trincerarsi dietro cumuli di carta destinati a restare lettera morta. Un approccio simile alla normativa produce una sorta di “effetto placebo in veste documentale” grazie al quale, il titolare poco avveduto, si crogiola nella fallace certezza di aver adempiuto a quanto richiesto, quando in realtà il livello di tutela per i dati personali presso la sua attività è rimasto pressoché invariato. I titolari del trattamento che hanno fatto propri i principi del GDPR, primo tra tutti quello della responsabilizzazione, dovrebbero adeguarsi quindi non solo dal punto di vista prettamente documentale, ma provvedere a implementare i livelli di protezione dei dati personali degli interessati tenendo a mente i rischi che una gestione sbadata delle informazioni comporta. L’effetto domino conseguente all’unione tra un atteggiamento imprudente e la velocità con cui la tecnologia consente il transito delle informazioni rappresenta la ricetta perfetta per un data breach dagli effetti talvolta devastanti, basti pensare al furto di identità, alle perdite finanziarie oppure ai danni nei confronti della reputazione dei soggetti interessati, conseguenze spesso poco intuibili dall’utente che utilizza la propria data di nascita come password per una moltitudine di account. Il concetto che il GDPR si propone di eleggere a principio di consapevolezza comune è quello di agire preventivamente, valutando in origine ed in corso d’opera le azioni necessarie e ampliando la consapevolezza su una questione che rischia di coinvolgerci in quanto persone fisiche e utenti ovvero come conglomerato di informazioni a noi attribuibili.
Il Titolare avrà quindi come obiettivo primario quello di dare una veste concreta agli adempimenti prescritti dal Regolamento Europeo modulando l’adozione delle misure di gestione del rischio sulla base di un esame assennato della situazione aziendale, accompagnando l’adeguamento documentale con misure per la gestione del rischio quali, a seconda delle situazioni: la cifratura, l’anonimizzazione, l’adeguato controllo degli accessi, il tracciamento delle operazioni etc.
L’importanza della formazione
A monte di tutto questo, risulta comunque imprescindibile investire sulla formazione delle risorse aziendali affidandosi a figure competenti in materia, solo attraverso un aumento di consapevolezza della norma, del bene protetto e dei mezzi utilizzabili per la gestione del rischio il GDPR può produrre effetti rilevanti, in caso contrario al momento di tirare le somme il conto rischia di essere impietoso.
A livello pratico, una volta appresi i concetti insiti nella norma risulta di sicura utilità, inoltre, prendere nota delle motivazioni per cui si è scelto di agire in un determinato modo, dare forma insomma al concetto di accountability in maniera totale e profittevole anche da questo punto di vista. La capacità di rendere conto delle proprie scelte impone necessariamente un momento di riflessione da parte di chi le pone in essere, nulla di meccanico o di preimpostato, la gestione dei dati personali richiede oculatezza e capacità di bilanciare le proprie attività con un adeguato livello di tutela e riduzione dei rischi. Una rendicontazione di ciò che si è fatto, delle misure di sicurezza adottate, dei motivi per cui si è preferita una strategia rispetto a un’altra, oltre a risultare di certa utilità in caso di ispezione, denota un atteggiamento assennato, un approccio logico e un elevato livello di rispetto nei confronti del bene protetto. Il Regolamento Europeo 2016/679, tra le altre cose, descrive, in via indiretta se vogliamo, uno spaccato della modernità su cui ci stiamo affacciando, tentando di creare degli argini e delle tutele atte ad evitare che il flusso di informazioni ci travolga.
