Dopo due anni di attesa, durante i quali si potevano fare, bene e con calma, tutte le cose necessarie, aziende ed enti hanno cominciato a correre per non arrivare tardi alla scadenza del GDPR
Ci siamo. La tutela della riservatezza dei dati personali, come certe appassionanti serie televisive, inaugura la quarta stagione. Affacciatasi per la prima volta in maniera organica nel 1995 con la direttiva 95/46/CE, nel nostro Paese si è radicata con l’introduzione della L. 675/96 consolidando la sua efficacia con il successivo D. Lgs 196/2003. L’ultimo stadio del processo evolutivo in questa materia è rappresentato dal Regolamento Europeo, pubblicato il 27 aprile 2016, che il 25 maggio 2018 assume tutta l’operatività.
Lo “stargate” di fine mese è stato finora guardato con una certa indifferenza, probabilmente anche per colpa delle manovre oppressive di chi – intravedendo prospettive di business – si è improvvisato esperto di sicurezza e privacy, e ha cominciato a proporre ogni genere di soluzione. L’asfissiante susseguirsi di proposte di consulenze, servizi e formazione ha praticamente “vaccinato” i destinatari di una simile offerta commerciale. Il tentativo di spaventare gli interlocutori potenziali clienti non ha sortito effetti significativi. Il mondo pubblico e quello privato ha così continuato a rinviare, posticipare e procrastinare. La cosa più bizzarra si è verificata il 19 aprile. Quasi a materializzare le aspettative della sconfinata platea dei pigri cronici e degli “agnostici normativi”, appare sul sito web agenda digitale.eu una notizia a dir poco clamorosa.
Il Garante – secondo tale articolo – aveva varato una sorta di rinvio degli effetti del Regolamento Europeo 679/2016, comunicando che per sei mesi non sarebbero stati effettuati controlli e non sarebbero state applicate le micidiali sanzioni (si può arrivare fino a venti milioni di euro o al quattro per cento del fatturato…). L’esultazione collettiva è rimbombata in ogni angolo del Paese. I finti esperti, gli autodichiarati consulenti e i data protection officer per mancanza di prove contrarie hanno mostrato la personale soddisfazione “messaggiando” e twittando a riprova di aver già previsto una iniziativa del genere e in ossequio all’inossidabile buonsenso dell’Autorità preposta a vigilare sul settore.
Sull’altro fronte le persone serie hanno immaginato si trattasse dell’ennesima bufala (immancabili nell’era delle fake news) e non si sono stupite nel vedere la repentina reazione del Garante che si è affrettato a smentire la fantomatica moratoria di sei mesi. Stavolta la privacy “s’ha da fare”, perché è impossibile eludere disposizioni normative vincolanti: nessun paese membro dell’Unione può far finta di nulla e disapplicare un disciplinare che ha dato ben due anni di tempo per mettersi in regola.
I cambiamenti di assetto ci sono stati. Le cose da fare sono (forse è più corretto dire “erano”) tante. Una di queste è stata senza dubbio dimenticata o quanto meno surclassata. È l’obbligo di “preparare” chi viene autorizzato a trattare i dati, ribadito a più riprese dal Regolamento 679 e indicato come condizione vincolante per consentire ai dipendenti di utilizzare informazioni personali nello svolgimento delle ordinarie mansioni d’ufficio.
I mutamenti avvenuti nel tempo e il recente provvedimento comunitario evidenziano l’inderogabile necessità di formare chi tratta dati personali e di garantire la più aderente rispondenza tra i comportamenti tenuti e gli adempimenti prescritti. L’esigenza di carattere didattico impone un rapido riallineamento delle competenze di tutti i dipendenti, in modo da evitare sanzioni e situazioni che possano compromettere l’immagine dell’azienda. Qualcuno pensa di cavarsela con una manciata di raccomandazioni date al volo, una paginetta di istruzioni e la firma su un modulo di “presa visione e accettazione”. Stavolta non siamo in Italia, ma in Europa. E lo standard in materia non sarà (né potrà mai essere) quello dei round precedenti.