RISERVATEZZA DEI DATI

GDPR: l’inferno delle “consulenze compiacenti”

Servizi che non funzionano, database esposti, violazioni di dati personali: questi alcuni effetti dell'intreccio di scarsa cultura della privacy e scarsa cultura della legalità

Nonostante un proverbio reciti “Attacca l’asino dove vuole il padrone e, se si rompe il collo, suo danno”, alcune consulenze fin troppo compiacenti hanno generato il propagarsi di worst practices ed una sostanziale insicurezza delle informazioni, che genera trattamenti illeciti e database mal controllati.

Certo, se non ci fosse domanda di questi servizi l’offerta non avrebbe ragion d’essere, e il problema di scarsa cultura della privacy qui si intreccia con una altrettanto evidente scarsa cultura di legalità. Per quanto c’è chi, senza troppa cognizione di causa, voglia indicare come irrilevanti talune tematiche, preme infatti ricordare che si sta parlando di una norma che non ha natura volontaria (come le norme tecniche ISO) bensì cogente. E dunque, l’invito di taluni soggetti alla “disapplicazione” sul piano operativo delle prescrizioni relative alla protezione dei dati personali, altro non è che un invito a violare una legge che, per l’effetto, espone a rischi insostenibili gli interessati e a conseguenze sanzionatorie le organizzazioni. 

Certamente, la promozione di un’anticultura della privacy (no-Priv?) è tanto più gravemente irresponsabile quanto più proviene da personaggi pubblici o, addirittura, con cariche istituzionali. 

Ma quali sono, a livello pratico, gli effetti della diffusione di quelle consulenze “compiacenti” che rispondono a questi inviti?

Da un punto di vista generale, c’è un tentativo di pervertire la portata sostanziale del GDPR riducendolo ad un’attività di c.d. paper compliance, ovverosia: molta documentazione, poca sostanza. Si contravviene al principio-chiave di accountability, per cui la rendicontazione degli adempimenti cede il passo ad un ammasso di buone intenzioni destinate a giacere sulla carta senza alcun riflesso operativo. Viene invertito l’ordine logico per cui l’attività di “essere in grado di dimostrare” non è più successiva ed effetto dei controlli svolti, bensì precorre e sostituisce addirittura l’adempimento, precostituendo un’evidenza scollegata dal contesto operativo.

Nell’ambito della progettazione, andrà così a mancare un approccio risk-based e l’applicazione di quei principi, quali la minimizzazione, che rispondono a chiare esigenze di tutela dell’interessato e della sicurezza dei suoi dati personali. Il tutto in spregio ai principi di privacy by design e privacy by default di cui all’art. 25 GDPR.

Sul piano operativo le tecnologie saranno selezionate senza badare, ad esempio, a regolamentare SLA e soggetti coinvolti, producendo tutte le incertezze che possono essere generate, tanto circa profili di liceità quanto di sicurezza. Ad esempio: il ricorso a servizi di terze parti che risiedono al di fuori dell’Unione Europea senza valutare le condizioni del trasferimento dei dati personali; l’impiego di soluzioni con vulnerabilità note.

Dal punto di vista dell’organizzazione, una mancata consapevolezza o riconoscimento circa l’importanza della protezione dei dati personali, è una carenza strutturale che andrà a riflettersi tanto nelle procedure quanto nella mancata sensibilizzazione e formazione degli operatori.

Quale conseguenza, poi? Servizi che non funzionano, database esposti, violazioni di dati personali, ad esempio.

In questo inferno di consulenze compiacenti, possiamo ancora permetterci di non ragionar di lor, ma guardare e passare? Sinceramente, credo di no.

Back to top button