Negli ultimi mesi abbiamo assistito al montare della preoccupazione per l’entrata in vigore del temutissimo GDPR.

di Francesco Palmieri, università di Salerno

Mettere in pratica i dettami della nuova norma ha portato tanto lavoro extra nelle organizzazioni ma soprattutto un’elevata incertezza e diffidenza nei confronti di una norma poco conosciuta di cui si sono percepiti soprattutto gli aspetti sanzionatori, enfatizzati da più parti in modo non sempre disinteressato, come nel caso di alcuni consulenti poco scrupolosi intenti a seminare il panico pur di accaparrarsi qualche cliente. Prima di soccombervi, dovremmo però ricordare che le sanzioni (tutt’altro che trascurabili, è vero) servono a incentivare l’applicazione di una norma quanto mai opportuna, al cuore della quale c’è la protezione degli individui e delle libertà. Va evidenziato infatti che tutti i trattamenti dei dati cui fa riferimento la normativa sono quelli che riconducono o che si possono in qualche modo ricondurre a persone fisiche e non aziende.

In effetti, tutto l’impianto normativo, che si presenta sufficientemente scalabile e adattabile ai cambiamenti tecnologici ed ai futuri scenari economici, ha come scopo principale quello di aggiornare ed armonizzare le normative privacy in tutta la UE. Di conseguenza, il nuovo regolamento non è poi così nuovo: se andiamo a ben guardare, la normativa sulla privacy già c’era, ma aveva alcune nebulosità e alcuni buchi che sono stati riempiti, come nel caso del diritto all’oblio. Di nuovo il GDPR ha soprattutto una maggiore enfasi sugli aspetti di protezione dell’individuo, anche rimettendo in discussione il concetto di “dato sensibile” sulla base dell’assunto che ogni dato può diventarlo, ad esempio perché combinato con altri può permettermi di inferire delle informazioni sulla persona che vanno al di là del dato stesso.

Una revisione della normativa era in questo senso cosa dovuta. Non che prima non vi fossero problemi di privacy, ma quello che allora non si sapeva (anche se poteva comunque nuocerti, contrariamente al detto) oggi non può più passare sotto silenzio – ad esempio la questione, delicatissima, dell’obbligo di notifica dei data breach. Anche questo famigerato aspetto della normativa, se visto nella logica del bicchiere mezzo pieno, può assumere una valenza estremamente positiva perché sottolinea l’importanza, per la vita dell’organizzazione, dell’investire in consapevolezza degli aspetti di cybersecurity, attraverso l’introduzione di buone pratiche quali analisi dei rischi e audit periodici, piani di disaster recovery e così via. La vera novità è l’introduzione del nuovo principio di accountability, che conferisce da un lato più discrezionalità e dall’altro maggiori responsabilità ai rispettivi titolari (spesso coincidenti con i legali rappresentanti delle organizzazioni), che sono tenuti a far documentare e dimostrare le ragioni che hanno determinato le scelte fatte in termini di trattamento dei dati.

Su GDPR e misure minime una serie di soloni hanno sentenziato e previsto cambiamenti apocalittici, in realtà però se guardiamo alla norma in maniera per così dire agnostica ci accorgiamo che molte delle provvisioni non sono nuove, ma anzi già sono realizzate quotidianamente, un caso per tutti la cifratura. È che spesso non tutti nell’organizzazione ne sono consapevoli.

Certo, se non facciamo le cose ci sono sanzioni importanti. Ma perché non dovremmo farle, queste cose? Niente di ciò che la legge richiede è al di là delle possibilità di un’organizzazione media. Anche la figura del DPO - che nella vulgata dei seminatori di panico sembrava una sorta di capro espiatorio, di fatto non ha responsabilità oggettive, ma professionali: un garante super partes contro i rischi del titolare (che non è che con la precedente normativa – il D.lgs 196 del 2003, abrogato definitivamente nel Marzo scorso - non ne avesse) che dovrebbe accompagnarlo ed assisterlo nell’applicazione della legge, quindi, e non un parafulmine.

Non aiuta a tranquillizzare gli animi nemmeno l’apparente conflitto tra GDPR e misure minime di sicurezza promulgate da AgID – in realtà a parer mio piuttosto una dialettica in cui è essenziale trovare un equilibrio, evitando gli eccessi di zelo da una parte e dall’altra. Per applicare una legge infatti è necessario definire dei limiti. E nel farlo si aprono davanti a noi due strade: quella facile, che è chiudere tutto per non correre rischi e quella che richiede un po’ di sforzo per mettere in pratica quei pochi meccanismi giusti che, se pensati ed implementati bene, sono assolutamente trasparenti per gli utenti. L’apparente semplicità della prima strada non deve tentarci perché nasconde un costo elevato per l’organizzazione: proteggere la privacy, o la sicurezza, a prezzo di rendere impossibile – e frustrante - il lavoro di chi ne fa parte. Nel caso delle reti della ricerca come GARR, ciò può rendere inutile la rete stessa inibendone tutte le funzionalità avanzate che la distinguono dalle altre. È importante infatti chiarire che le misure minime di AgID non sono altro che la formalizzazione “strutturata” di buone pratiche mirate a mitigare i rischi informatici e migliorare la gestione dei sistemi, non un obbligo a chiudere o limitare l’accesso agli stessi in nome di un fantomatico principio di governo della sicurezza e di controllo della privacy, basato su principi di censura. Va inoltre sottolineato che l’irrigidimento oltre il necessario di politiche di sicurezza perimetrale può avere effetti negativi anche dal punto di vista architetturale per le strutture coinvolte, in quanto vanifica gli investimenti infrastrutturali in termini di potenziamento della banda di accesso alla global Internet.

Insomma, lungi da essere un motivo di destabilizzazione, l’entrata in vigore del GDPR dovrebbe esser vista come un’opportunità per far meglio le cose che già facciamo per la privacy e più in generale per crescere e rafforzarsi. il GDPR può diventare quindi uno stimolo positivo a mettere in atto tutta una serie di misure che servono a monitorare, governare ed irrobustire la sicurezza dei dati oggetto di trattamento e dei sistemi deputati alla gestione dello stesso. Le organizzazioni, grazie alla particolare attenzione sui dati sensibili, sono portate a prendere coscienza del fatto che i dati trattati sono un patrimonio, che come tale va protetto. Non cediamo al lato oscuro!