Molte idee molto confuse in vista del 25 maggio
Attorno al GDPR sta montando un’attesa insana e giorno dopo giorno cresce la confusione, alimentata anche da chi dovrebbe fare ordine e chiarezza.
Avvicinandosi all’ormai famosa data del 25 maggio, giorno in cui il GDPR, il regolamento generale sulla protezione dei dati, entrato in vigore il 24 maggio 2016, ovvero circa due anni fa, tempo più che sufficiente per adeguare anche il più grande colosso internazionale alle nuove disposizioni, diventerà direttamente applicabile senza ulteriori passaggi di recepimento o ratificazione da parte di nessuno in nessun angolo del mondo conosciuto e civilizzato, sembra che si faccia a gara a chi è più esperto, più certificato, più competente, più…
Molte cose mi lasciano perplesso e, talvolta, mi fanno pensare che ci sia qualcosa di sbagliato nella situazione che sto percependo. Fortunatamente trovo conforto da alcuni clienti e da alcuni colleghi.
La prima cosa che mi disturba è l’aura di ignoranza che aleggia e che si irradia dalle associazioni di categoria e i più rilevanti ordini professionali nazionali. Partendo dall’indifferenza delle prime, arrivando ai comunicati più assurdi dei secondi. Giusto per citarne alcuni: una sede territoriale dell’Ordine dei Consulenti dal Lavoro che “consiglia caldamente di non firmare contratti di consulenza con nessuno perché la norma [il GDPR, ndr] non si sa ancora se entrerà in vigore”; il Consiglio Nazionale Forense che consiglia di utilizzare tabelle compilabili in Excel per tenere i registri dei trattamenti, che sono documenti che dovranno avere valore probatorio e legale e avere forma scritta, che nel linguaggio giuridico significa, più o meno, che la generazione del file dovrebbe seguire come minimo uno schema logico tracciabile (marcature temporali, log delle modifiche, firme digitali…), il tutto senza considerare che i file proposti sul sito non sono in lingua italiana, e quindi praticamente inutilizzabili e, se impiegati, altamente rischiosi; il Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili, per ultimo, ha pubblicato un documento che, oltre a essere incoerente con la situazione normativa, non tiene conto nemmeno delle linee guida e delle raccomandazioni o delle opinioni degli organismi europei deputati alla privacy e arriva a dire che negli studi professionali (cito testualmente) “salvo casi particolari (ad esempio, ove lo Studio utilizzi telecamere a circuito chiuso o effettui tracciamento dell’ubicazione attraverso app su dispositivi mobili oppure utilizzi programmi di fidelizzazione o di pubblicità comportamentale), appare rara l’effettuazione, da parte del commercialista, di attività di monitoraggio sistematico e regolare”, come se rispettare le disposizioni antiriciclaggio, che partono da una prima valutazione del profilo del cliente da cui dipende solo l’inizio del rapporto professionale o l’obbligo di astensione, che prosegue con una profilazione attenta e costante nel tempo, spesso automatizzata, e che può produrre effetti giuridici anche rilevanti sulle persone fisiche (non solo l’interessato), non fosse un’attività di monitoraggio sistematico e regolare.
Secondariamente mi disturbano parecchio tutti i miei concorrenti che pretendono di vendere una soluzione onnicomprensiva e a basso costo. La protezione dei dati non si fa a basso costo, perché è standardizzabile il metodo di lavoro, non il risultato. Ci sono troppe variabili in causa, anche per il sito della nonna che vende torte, anche se “io faccio solo…”. Fai “solo” cosa? Di tutti i casi di videosorveglianza che ho trattato, non ve n’è uno identico agli altri, nemmeno nei presupposti! (Giusto per fare un esempio). Trattare i dati è la base dell’attività umana, sia sociale che economica. Lo è sempre stato e oggi è molto più percepibile; in futuro lo sarà probabilmente ancora di più. Se qualcuno vi proponesse di farvi un adeguamento al GDPR senza nemmeno avervi visto o intervistato, magari focalizzandosi su informative e consensi scritti perché “ora sono obbligatori”, sappiate che sta spudoratamente mentendo: primo perché lo erano anche prima, secondo perché non sono obbligatori (anche se la forma scritta è sicuramente la migliore, ma non è la sola, per dimostrare di aver informato e ottenuto il consenso, quando serve).
Tralascio poi il discorso sui software che promettono di fare tutto e di riparare da ogni rischio. Ne ho provati parecchi. Finora ho visto quasi sempre cose che fanno in bella veste ciò che un consulente serio e preparato riuscirebbe a fare anche senza, con un semplice PC con il pacchetto Open Office e senza nemmeno la connessione a Internet. Onestamente, l’unico che mi ha colpito in positivo per le sue caratteristiche tecniche “occulte” (conformità al CAD, al regolamento eIDAS, al GDPR, con misure di sicurezza by design e una serie di controlli sui dati inseriti attraverso le maschere, tanto per citarne alcune) è DPO Privacy Suite, sviluppato da Enterprise, il cui unico scopo è aiutare gli utenti a redigere, conservare e aggiornare i registri dei trattamenti dei dati personali, come richiesto dall’art. 30. Obbligo che ricade praticamente su chiunque; a distanza di anni, non ho ancora trovato un esempio su un caso in cui non sia obbligatorio, senza considerare la posizione del nostro Garante. Ecco, questo è (forse) l’unico consiglio di acquisto per mi sento di fare, perché è davvero uno strumento utile e ben fatto.
Questo è lo scenario, signore e signori: confusione. O, almeno, io la penso così.
Il giorno in cui vi domanderete a chi sia il caso di rivolgervi per avere anche solo un consulto, ricordatevi di chi questa materia la conosce bene e da anni cerca di mettervi in guardia e di assistervi.
Non vorrei farmi pubblicità, ma io sono uno di quelli. E non tollererò che la mia materia diventi quello schifo che molti (troppi) prima di me hanno fatto diventare la sicurezza sul lavoro. Sappiatelo.
Buona festa dei lavoratori a tutti!