Come ormai molti sanno, il 25 maggio 2018 diventerà esecutivo con le sue pesantissime sanzioni il regolamento europeo 2016/679 (General data protection regulation, Gdpr) relativo alla protezione dei dati personali. Il panico è generale, anche per i grandi player che hanno annunciato modifiche alle loro policy pur di evitare guai giudiziari.

Il garante per la protezione dei dati personali sta provando a dare indicazioni utili, ma è lo stesso legislatore italiano a non brillare per proattività e rispetto di tempistiche utili. E allora è inevitabile che si insinuino tra le pieghe della confusione collettiva, falsi miti e proposte miracolose che invece poco risolvono.

Proviamo allora a fare chiarezza in dieci punti indispensabili da conoscere prima di affidare in mani sbagliate il futuro dei nostri dati.

La premessa è: niente panico. Il 25 maggio non ci sarà un terremoto, ma solo l’inizio di un cammino verso una nuova consapevolezza relativa alla società che stiamo vivendo dove i dati personali ormai sono una merce di scambio. Dobbiamo, quindi, avviare piano piano un percorso necessario, perché viviamo in una società che ha nuove esigenze e richiede un nuovo approccio.

1. La privacy, nel senso di riservatezza o “diritto ad essere lasciato in pace”, non esiste più (o quasi). Il legislatore europeo si preoccupa della protezione dei dati personali e della loro libera circolazione per favorire il mercato digitale in modo da renderlo più sicuro e affidabile per i cittadini.

2. Non bisogna buttare tutto all’aria e ricominciare da capo. Diffidate da coloro che vi annunciano rivoluzioni e cambiamenti epocali. “Il regolamento non ha modificato in modo sostanziale i concetti e i principi fondamentali della legislazione in materia di protezione dei dati. La grande maggioranza dei titolari del trattamento e dei responsabili del trattamento che rispettano già le attuali disposizioni dell’Ue non dovrà introdurre importanti modifiche nelle proprie operazioni di trattamento dei dati per conformarsi al regolamento” (lo ha riferito la Commissione europea in una Comunicazione al Parlamento del 24/01/2018).

3. Non ci saranno proroghe e diffidate da queste fake news alimentate comunque da interpretazioni possibili, ma troppo entusiastiche di giusti provvedimenti del garante nei quali si prende atto della confusione in cui versiamo nel nostro ordinamento. Quindi inizialmente in sede di ispezione si procederà con verifiche più morbide e che mireranno soprattutto a controllare che si sia avviato con serietà un percorso. Nessuno può oggi e potrà il 25 maggio definirsi completamente “Gdpr compliant” come si sente riferire in giro.

4. Non esistono soluzioni “chiavi in mano” che con pochi spiccioli possano risolvere il terribile problema privacy. La protezione dei dati personali è un percorso che va sviluppato su misura, come se fosse un vestito sartoriale e quindi varia da struttura a struttura, secondo il principio generale di accountability, già presente nel nostro Codice per la protezione dei dati personali.

5. Il Data protection officer (Dpo) o Responsabile della protezione dei dati, figura indipendente e imparziale a tutela dei dati personali prevista nel Gdpr, non è sempre obbligatorio e soprattutto non deve essere un “consulente certificato”. Lasciamo le certificazioni e i bollini di qualità a prodotti e sistemi e cerchiamo invece di verificare prima di tutto se si è obbligati alla nomina, poi se è opportuno comunque dotarsi di questa figura (interna o esterna alla propria struttura) e quindi scegliamola con attenzione e guardando la reale esperienza in materia. Mai come in questi giorni non è tutto oro ciò che luccica.

6. Il diritto alla protezione dei dati personali non è un diritto assoluto, ma va bilanciato con gli altri diritti dell’ordinamento e con le altre attività. Chi vi dice che dovete rifare tutto, altrimenti dovrete bloccare attività di marketing e di impresa, vi sta vendendo solo fumo.

7. Le informative e i consensi acquisiti sino ad oggi, se sviluppati con attenzione, tenuti aggiornati e in linea con quanto previsto dalla normativa italiana, rimangono validi. Vanno aggiornati (solo in parte) con quanto previsto dal Gdpr. E anche i vari diritti degli interessati sono rimasti sostanzialmente immutati, ma vanno solo aggiornati alle nuove esigenze della società digitale in cui viviamo.

8. Non vanno cambiati tutti i contratti. Dipende da come li abbiamo redatti in questi anni e, se li abbiamo sviluppati con attenzione alla materia, andranno solo leggermente rivisti.

9. Non vanno per forza portati avanti ingenti investimenti in termini di sicurezza informatica. La spesa da pianificare dipende sempre da ciò che vogliamo proteggere e dai costi che possiamo sostenere.

10. È utilissimo dotarsi (e formare) un proprio team privacy competente e in grado di avviare un cammino che è complesso e lungo.

Prima di aprire con leggerezza il portafogli in preda al panico da adeguamento, occorrerebbe sviluppare un’accurata radiografia della nostra struttura dal punto di vista del trattamento dei dati personali e quindi analizzati i reali rischi ad esso legati. Del resto, l’accountability di cui si parla tanto non è (solo) questione di hardware, software, o information security, ma è prima di tutto questione di organizzazione delle risorse umane che devono essere adeguatamente formate e rese consapevoli in modo che sia documentato con attenzione un viaggio alla scoperta dei dati che trattiamo e che molto spesso ci sfuggono del tutto. In realtà il problema più grande per la protezione dei nostri dati siamo noi stessi.