A me solo ordinava d’udire quel canto; ma voi con legami
strettissimi dovete legarmi, perché io resti fermo,
in piedi sulla scarpa dell’albero: a questo le corde m’attacchino.
Omero
Considerate la vostra semenza: fatti non foste a viver come bruti ma per seguir virtute e canoscenza.
Dante
Il GDPR costituisce per molte società di consulenza, produttori di software e di appliance il business del momento. Un business al quale nessuno vuole rinunciare vista la scarsità di risorse che costringe aziende ed enti pubblici a investimenti sempre più oculati.
Ecco allora che in tale clima i venditori più abili, anche blasonati, si propongono quali novelle sirene, con soluzioni miracolose.
Il tono del messaggio è più o meno questo: “se utilizzi la nostra soluzione sei conforme al GDPR”.
Nella grandissima maggioranza dei casi l’affermazione è assolutamente vera, ma è altrettanto vero che tale informazione è assolutamente carente ed incompleta.
Facciamo un esempio chiarificatore riferendoci all’attuale normativa privacy ed alle misure minime di sicurezza. Se un produttore di un antivirus dichiara “se utilizzi la nostra soluzione sei conforme al Codice privacy” fa un’affermazione assolutamente corretta. L’utilizzo di antivirus è infatti un obbligo richiesto dall’Allegato B del Codice (misure minime di sicurezza).
Quello che non si evince dal messaggio è che restano altre 26 misure minime di sicurezza (presidiate penalmente) da implementare e qualche altra decina, o centinaia (in funzione della dimensione, articolazione, tipologia di trattamenti del Titolare) di adempimenti da mettere in atto per essere pienamente conformi al D.Lgs 196/03.
La colpa in fondo non è dei venditori di soluzioni, che fanno il loro dovere e spingono il loro prodotto.
Certo sarebbe più corretto ed onesto da parte loro dire che con l’uso del loro prodotto o della loro soluzione si è conformi al GDPR limitatamente alla parte da questi coperta e che per una PIENA CONFORMITA’ al GDPR è necessario ben altro.
Il problema di fondo è che, salvo rare eccezioni, la totalità dei Titolari a pochi mesi della piena efficacia del GDPR non hanno la minima consapevolezza della reale portata degli adempimenti da mettere in atto e probabilmente solo dopo le notizie delle prime sanzioni con molti zeri si renderanno conto del gap che li separa da una reale conformità.
Per contro, approfittando di questa situazione di colpevole ignoranza (si veda in proposito il mio post LE NORMATIVE PRIVACY) i soliti produttori di soluzioni inventano obblighi non previsti dalla normativa ripetuti ormai come un mantra in ogni occasione. Termini come pseudonimizzazione, anonimizzazione, cifratura… sono all’ordine del giorno, ma nessuno si è preso il disturbo di verificare effettivamente cosa dice la normativa.
Orbene prendiamo come esempio la cifratura: a differenza del Codice privacy o dei provvedimenti dell’Autorità Garante che rendono obbligatorio l’uso della cifratura in molti casi (si veda ad esempio la misura minima 24), mai nel GDPR viene formulato un obbligo in tal senso.
Le misure di sicurezza li elencate sono sempre dei suggerimenti, come ben si evince dall’articolo 32 Sicurezza del trattamento
1.Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, CHE COMPRENDONO, TRA LE ALTRE, SE DEL CASO:
a) la pseudonimizzazione e la cifratura dei dati personali;
Nessun dubbio che TRA LE ALTRE indica che quanto riportato nel testo della normativa è solo esemplificativo, e che SE DEL CASO, rimanda ad una valutazione che ogni singolo Titolare deve mettere in atto, sotto la propria ed esclusiva responsabilità.
È evidente che la presenza di tali misure costituisce un elemento di tutela del Titolare, lo esenta da taluni adempimenti e aumenta notevolmente la sua capacità di dimostrarsi conforme al GDPR.
Ma da questo al dire che la cifratura è un obbligo previsto dal GDPR ce ne corre. Lo stesso dicasi per altre misure di sicurezza.
Un Titolare di trattamento il 25 maggio 2018 deve essere pienamente conforme al GDPR. Il come nessuno lo ha stabilito. Può adottare se è in grado misure di natura tecnica, ma se queste sono troppo costose o complesse da implementare può adottare in alternativa misure organizzative (accompagnate da adeguati meccanismi di verifica nel continuo e periodiche), rimandando implementazioni tecniche a tempi migliori.
Sicuramente non è sufficiente il 25 maggio disporre di un semplice piano di implementazione se nel frattempo non si sono adottate adeguate misure di sicurezza o tutti gli altri adempimenti previsti dal GDPR.
Il colpevole ritardo con cui si stanno muovendo i Titolari non è una scusante per non essere preparati a 6 anni dalla prima bozza del GDPR e a 2 anni dalla sua entrata in vigore.
Personalmente, in carenza di risorse, investirei la dove maggiore è il rischio che una violazione di dati personali obblighi il Titolare a notificare al Garante l’accaduto, con una esposizione anche in termini di immagine che difficilmente potrebbe essere recuperata.
In conclusione quindi un invito ai fornitori di soluzioni affinché siano più precisi nel formulare le proprie offerte ed una sollecitazione ai Titolari di trattamento affinché, come novelli Ulisse, non solo resistano alle sirene, ma si informino sugli effettivi adempimenti previsti dal GDPR con una lettura diretta della normativa.