GDPR: gli dei se ne vanno, gli arrabbiati restano

di Andrea Merati – Consulente sistemi di gestione aziendale

 

Dopo tanto rumore caduto dalle sfere celesti, subiti tutti di dogmi purificatori e cristallini degli esperti di alto rango, ecco arrivare sanzioni e perdite. Non sono però, quelle multe vaticinate come una meteora devastante, che avrebbe disseminato povertà e mestizia sul globo terracqueo, azzerando i bilanci aziendali e sparpagliando povertà, ma qualcosa di inquietante e diverso.

Parto da lontano, precisamente dal sito GDPR Enforcement Tracker, che raccoglie costantemente tutte le sanzioni comminate dalle diverse Autorità nazionali che si occupano di protezione dei dati (di seguito anche denominati Garanti, per semplicità, simpatia e maneggevolezza – pur sapendo che trattasi di semplificazione impropria). Qui si trova una evidente prevalenza di sanzioni legate al mancato rispetto dei principi base che regolano il trattamento (artt. 5 e 6 del GDPR) e all’inadeguatezza delle misure tecniche e organizzative poste in essere dai titolari, per garantire un livello di sicurezza adeguato al trattamento effettuato (art. 32).

I cari Garanti hanno colpito quelli che si sono presi delle libertà eccessive nella raccolta e nell’utilizzo dei dati, oppure coloro che hanno risparmiato su tecnologie informatiche o formazione. In misura molto meno marcata si trovano sanzioni legate a non conformità o mancata fornitura delle informative per l’interessato (artt. 13 e 14). In pratica si sono quasi completamente disinteressati di tutti gli splendidi documenti prodotti, per concentrarsi sulle questioni reali. Impressione, stupore, imbarazzo, chi se lo sarebbe mai aspettato, abbiamo prodotto fogli così belli ed eleganti e questi non ci fanno caso? Abbiamo inviato i nostri preziosi manufatti privacy a ogni angolo della terra e a chiunque avesse una casella di posta elettronica, abbiamo ordinatamente e coscientemente chiesto di porre firme ovunque e questi signori ci puniscono? Tra l’altro ci accusano anche di aver indotto il buon uomo (evito il femminile perché spesso ha un significato da lupanare, non ho mai capito perché) a un assenso in sudditanza oppure, di avergli dato spiegazioni e risposte in stile Conte Mascetti. Ebbene sì, a oggi le sanzioni, in certi casi anche consistenti, sono andate a chi ha finto o ha sottovalutato, non a quelli che non hanno prodotto documenti.

Si può anche sbagliare

Nella seconda riga di questo articolo si parlava anche di perdite. Tralasciamo la solita questione delle truffe informatiche (tanto non ci crede nessuno, finché non ci si trova costretti a mercanteggiare un etto e mezzo di bitcoin o a pregare un tecnico informatico di tornare dalla gita a Gardaland, per riuscire a lavorare con un computer) e concentriamoci sui giudici di pace.

C’era una volta un’azienda di marketing che si occupava di elettromedicali. In questa compagine operava un management preciso e orientato che si avvalse di un paio di consulenti fidati per l’adeguamento al GDPR. Fecero l’analisi dei rischi, scrissero i regolamenti ed erogarono la formazione. Prepararono le informative, le nomine (discutendo amabilmente con coloro che portavano contestazioni in punta di diritto o in brodo d’ignoranza, quello di giuggiole era finito, probabilmente) e il Registro dei trattamenti. Crearono anche un documento di valutazione d’impatto (DPIA) per il trattamento dei dati sensibili relativi alle patologie dei clienti.

Tutto molto bello, però decisero di optare per la pseudonimizzazione e l’anonimizzazione di tali dati particolari, in parole straccione (molto più che povere) si tennero tutti i dati sanitari ma completamente staccati dalle persone, senza possibilità di identificazione e ricollegamento dei dati all’umano. Un furbastro, aiutato da un manutengolo di lungo corso, chiese alla suddetta azienda informazioni in merito ai propri dati sanitari e la loro eventuale cancellazione. Forti di cotanto lavoro, gli sventurati risposero che i dati erano entrati ma, essendo anonimizzati, non potevano venire ricondotti alla persona né, tantomeno, cancellati. Risparmio i particolari e giungo al dunque: il giudice di pace ha disposto il pagamento di qualche migliaio di euro per danno alla persona (nonché al pagamento delle spese legali) per aver leso il suo diritto all’oblio, tra l’altro portando le sue ragioni tramite un misto di articoli del GDPR incongrui e del Codice privacy abrogati.

Abbiamo sbagliato? Sarebbe stato meglio consigliare una bella distruzione massiva e certificata, facile da spiegare e da dimostrare con un foglio di carta timbrato e firmato; perché fare affidamento su cultura e competenza a volte è rischioso? Mah, vedremo cosa ci dirà l’appello.

Al di là del merito, chiudo questo articolo e l’anno solare con la storia di cui sopra per inquadrare la situazione nella sua realtà: per evitare sanzioni e furberie è meglio pensare e agire piuttosto che produrre oggetti perfetti e mirabili da conservare in un faldone.

P.S. Per chi se li fosse persi, quelli del titolo sono gli Area.

 

Preleva l’articolo completo in pdf