GDPR – Complessi marmorei e perdite di tempo

di Andrea Merati, Consulente sistemi di gestione aziendale

Il nostro sembra un paese in cui le persone abbiano acquistato, chissà da che fornitore, del tempo da perdere: vedo seri professionisti e capaci imprenditori che inseguono soluzioni complesse e cervellotiche, complicandosi vita ed economia finanziaria senza fermarsi un momento a pensare.

Premessa

Un bel giorno (il 24 gennaio 2018 per chi tiene alla precisione) una comunicazione della Commissione al Parlamento Europeo e al Consiglio recita (in piedi sulla sedia): “La grande maggioranza dei titolari del trattamento e dei responsabili del trattamento che rispettano già le attuali disposizioni dell’UE non dovrà quindi introdurre importanti modifiche nelle proprie operazioni di trattamento dei dati per conformarsi al regolamento” [par. 3.4].

Orientamenti

Il Regolamento Europeo n. 679/2016 non è stato scritto per creare standard ma esattamente con scopo contrario. Pensieri e soluzioni devono essere progettate e mantenute (by design e by default):

  • secondo una precisa analisi delle proprie caratteristiche;

  • cogliendo potenzialità e criticità tecnologiche, gestionali e comportamentali della propria organizzazione;

  • trovando soluzioni tecniche e organizzative da applicare con modalità e tempi congrui, con lo scopo di eliminare o limitare l’insorgere di un danno (tenendo saldi i principi imprenditoriali universali: avere un sistema informatico perfetto ma dover chiudere a causa del debito contratto per acquistarlo non è precisamente geniale);

  • mantenendo costantemente l’attenzione perché tutto ciò che ho scritto sopra sia effettivamente attuato e migliorato nel tempo.

Benvenuti nel magico mondo della valutazione del rischio. Che non ha niente di standardizzato o unificato (vero, esiste la norma tecnica ISO 31000 sul Risk Management, che molti citano ma pochissimi hanno letto davvero – forse perché scritta con una prosa scarsamente emozionale – ma è generica, non introduce nessun concetto di privacy, mai; guida il metodo, non indica un risultato).

Casi della vita

Cerchiamo di usare il cervello o, almeno il buon senso. Girando per aziende ogni tanto qualcuno mi racconta: un serissimo e luminoso professionista mi ha detto che in azienda non bisogna più usare gli indirizzi mail che riportano il nome e il cognome del dipendente.

Non voglio entrare in conflitto con nessun esperto perché non ho tempo, immagino che questo consiglio circolante sia nato in un contesto particolare e che, nella trasmissione orale, abbia avuto delle mutazioni simili a quelle che hanno trasformato il termine latino inutilis nell’italiano inutile; quindi mi limito a pensare oziosamente al caso.

L’azienda introduce l’uso dell’indirizzo inostribegliuffici@meraplastic.it, che verrà utilizzata dai quattro addetti alle vendite: in questo caso si dovrà tener conto del tempo che impiegherà ciascuno degli sventurati a dirimere quali siano le missive di propria competenza, semplice magari in caso di clienti noti, meno facile per quelli incontrati alla Grande Fiera del tubo in PVC di due mesi prima. Poi mi chiedo se questi addetti possano firmare le mail con nome e cognome, perché in questo caso mi verrebbe il dubbio che ci possa essere una pericolosa esposizione di dati personali.

Ma forse ho sbagliato strada, ne provo una diversa. L’azienda introduce l’uso di quattro indirizzi Commerciale1@meracake.com, Commerciale2@meracake.com… (nel mentre, la società, a un passo dal fallimento, ha dovuto convertirsi alla pasticceria, perché perdeva clienti nel campo dei tubi), perfetto, confusione gestionale risolta ma rimane il dubbio se permettere al venditore di firmare con il proprio nome e cognome, per non parlare del problema di cosa scrivere sui biglietti da visita. E non oso immaginare il caos al centralino, quando il cliente vorrà lamentarsi perché il Signor Commerciale non mi ricordo il numero mi ha mandato trecento babà anziché duecento bignè.

Secondo me sarebbe molto più interessante impiegare il tempo per pensare (verbo doloroso) e introdurre una seria politica per l’uso della mail aziendali, che regoli i casi di assenze prolungate, dimissioni, emergenze, salvaguardando la continuità operativa e l’economia societaria, chiarendo l’uso dei sistemi aziendali anche a tutela dei dati personali dei lavoratori.

Proibizionismo

Qualche Titolare sta proibendo l’uso di WhatsApp sui telefoni aziendali, o dei vari Cloud Storage gratuiti (Google Drive, Dropbox…) perché non sono sicuri, perché ci possono essere delle divulgazioni occulte di dati, perché i dipendenti possono memorizzare dati di natura personale non professionale e interrompo la lista perché se no si arriva al rosso di sera che perde il pelo e ci lascia lo zampino.

Non sarebbe meglio pensare a una seria formazione (che tra l’altro è obbligatoria come si evince dal termine istruito inserito negli art. 29 e 32 del Regolamento) sui rischi dei comportamenti errati, nonché sull’uso corretto degli strumenti informatici? Non sarebbe il caso di fare un’attenta analisi dell’uso degli smartphone personali utilizzati dai lavoratori sui quali finisco dati aziendali senza nessuna cognizione o controllo: certo, è comodo e conveniente che il lavoratore o il collaboratore possa leggere le mail sul suo telefono, però significa che tutti i dati aziendali finiscono su di uno strumento che non è di proprietà del titolare.

Conclusioni

Siamo in ardente attesa del decreto di adeguamento che dovrà sorgere entro il 21 agosto (di quest’anno) e pare che la calma sia tornata negli animi ma il regolamento è attivo, tra qualche mese tutto andrà a regime (Garante, GdF, ex dipendenti arrabbiati e clienti scontenti, rinvigoriti dalle vacanze, potranno operare ognuno per i propri scopi) e credo sia tempo di mettere mano agli adempimenti; sfruttiamo questo periodo illuminato dal sole per far luce sulla nostra organizzazione:

  • Sicurezza informatica. Il regolamento è normativo ma non basta aver precisamente individuato le basi giuridiche, è necessario poi andare a vedere che la memoria del computer non sia come la piazza del mercato del pesce al sabato, dove chiunque entra, prende e se ne va, senza neanche qualificarsi e, magari, se è poco serio ruba anche una triglia.

  • Sicurezza organizzativa. Nelle aziende i dati non sono solo nei computer ma anche negli armadi e sulle scrivanie o, magari, abbandonati sul vassoio d’uscita di una stampante in corridoio; proviamo a istruire gli autorizzati (incaricati) perché non abbiano comportamenti fuori controllo o del tutto sbagliati, potrebbe essere salutare anche per i dati non personali, quelli che è meglio che non escano a favore di qualche concorrente.

  • Valutazione del rischio. Diamo vita al Registro dei trattamenti senza copiarlo da altri, inserendo nelle caselline delle scritte reali e ragionate, già questo ci impone di analizzare la situazione, capire cosa potrebbe non andare e darci la possibilità di immaginare un miglioramento, alla fine avremo già tutti gli elementi per verbalizzare una valutazione del rischio.

  • Finito tutto andiamo a spolverare il faldone 196/03, stacchiamo i documenti dalle cartelline di plastica a cui sono rimasti appiccicati e mettiamoli a posto, probabilmente, se ce li avevano scritti bene, necessitano solo di una buona manutenzione.

  • Se avevamo saltato un giro e non ci eravamo accordi che esisteva un Codice Privacy, è questo il momento di darsi delle regole, sia perché c’è un regolamento, sia perché la modernità sta prendendo una strada piuttosto complessa dal punto di vista dell’uso e della protezione dei dati: sapere chi sono i nostri clienti, fornitori, collaboratori, dipendenti e tutto ciò che gravita loro intorno ha un valore economico in elevazione (e intendo proprio quello del Conto, quello dei costi e dei ricavi).

Ma cosa c’entrano i complessi marmorei del titolo?

Mi limito a immaginare lo scenario in cui qualcuno metta insieme cedolini paga, Modelli Redditi PF SC SP ENC, fotocopie di passaporti, dati di carte di credito e spostamenti su Waze, distribuiti su diversi computer italiani e no: potremmo diventare improvvisamente i finanziatori delle serate danzanti di un abbronzato malvivente sdraiato a Bora Bora. Forse è meglio pensare decentemente alla protezione dei dati, senza complicare per cupidigia o irrigidirsi per superbia.