GDPR, ecco lo spirito giusto per adeguarsi: la cultura del rischio

Chi si occupa, a vario titolo, di protezione dati, conosce bene le disposizioni del “GDPR”, ossia del regolamento Ue sulla protezione dei dati personali, e sa che il termine fatidico per la sua piena applicazione in tutta l’Ue (quindi anche in Italia) è il prossimo 25 maggio. Credo sia necessario sgombrare subito il campo da un equivoco: il 25 maggio non è (solo) un traguardo, ma soprattutto un inizio. Cioè non si tratta di una data paragonabile al 1 gennaio 2000: non si rischia la fine del mondo (digitale) come a noi noto. In realtà, il 25 maggio segna l’inizio di un nuovo approccio alla protezione dei dati che riposa sul concetto di una maggiore responsabilizzazione di tutte le parti in causa.

Accountability, responsabilizzazione

Accountability, ossia responsabilizzazione, significa tutto il contrario di fare qualcosa una tantum. La riforma voluta dall’Ue (quindi anche dal nostro Paese) cambia l’approccio complessivo alla gestione del dato personale, e pone l’accento sull’effettività e la concretezza delle tutele, molto più di quanto sia avvenuto finora. Le tutele di cui si parla hanno un duplice obiettivo, come afferma lo stesso GDPR (vedi il Considerando n. 2): garantire l’esercizio di diritti fondamentali (non dimentichiamolo: la protezione dei dati personali e la tutela della riservatezza sono diritti fondamentali in base alla Carta dei diritti fondamentali dell’Ue e al Trattato di Lisbona) e, allo stesso tempo, contribuire al progresso economico e sociale in uno spazio di libertà, sicurezza e giustizia.

I due anni trascorsi dalla pubblicazione del nuovo quadro di norme sulla GUUE (il 4 maggio 2016) servivano proprio a prepararsi a questo diverso approccio. Ma per farlo diventare parte integrante e permanente della gestione delle informazioni.

Il nuovo paradigma gestionale del GDPR

Come è possibile, ci si chiederà? In primo luogo, il GDPR rappresenta, per utilizzare ancora un linguaggio mutuato dalle tecnologie IT, una nuova release di un quadro di garanzie già molto normato. Non è una rivoluzione copernicana: i principi e i fondamentali della protezione dei dati non cambiano rispetto a quanto a noi noto. Semmai, il GDPR si pone come nuovo paradigma gestionale. La scommessa è, da un lato, “interiorizzare” la cultura della privacy a livello di organizzazione aziendale e amministrativa, trasformare la protezione dei dati in un asset da gestire e tutelare in modo dinamico. Dall’altro, e proprio attraverso questa iniezione generale di regole organizzative finalizzate alla tutela a monte dei dati personali per consentirne l’utilizzo e il riutilizzo corretti, si tratta di trasferire sull’architettura complessiva del sistema (cioè sulle azioni di tutti coloro che, a vario titolo, trattano dati personali: soggetti pubblici e privati, senza alcuna distinzione) la garanzia dell’esistenza di tutele orientate in questo senso.

Non più una visione difensiva della privacy, ma una visione gestionale, dinamica, in cui ogni soggetto che tratta dati personali deve essere in grado di capire come modulare la propria attività in modo da conciliare i propri scopi (anche di profitto) con la tutela di un bene che per sua natura è legato alla personalità, ma anche alla dignità, di ogni individuo.

Cultura del rischio

È una scommessa complessa ma non impossibile. Bisogna vedere nella cura dei dati un asset, come per ogni altro patrimonio aziendale. Anni fa, nel 2004, il Garante ha organizzato a Roma una conferenza che, quasi profeticamente, si intitolava “Privacy: da costo a risorsa”: come trasformare la tutela del dato personale in un veicolo di crescita. Se si vanno a leggere gli atti di quella conferenza, si noterà come sia esattamente nella stessa direzione che la riforma del GDPR si muove. Sicuramente meno burocrazia, e molta più attenzione alla concreta dimostrazione dell’applicazione di buone prassi.

Qual è il nuovo paradigma di cui si sta parlando? È quello legato principalmente alla cultura del rischio e della gestione del rischio. Si tratta di trasferire una cultura di risk management propria (finora) soprattutto di approcci economicistici a un ambito legato alla tutela di diritti fondamentali. Nel far questo, il GDPR focalizza il concetto di rischio sull’impatto che il trattamento dei dati personali genera per gli interessati: il rischio che ha in mente il legislatore del nuovo regolamento guarda all’individuo, ai diritti e alle libertà degli interessati. Quindi una visione ampia che deve tenere conto della sfera complessiva dove si svolge la vita dell’individuo: dal furto di identità alla negazione di un beneficio o un finanziamento, fino alla discriminazione.

Gestione del rischio, però, non significa accettare supinamente l’esposizione dei dati al rischio: significa valutare l’impatto potenziale di un trattamento (soprattutto se lo si intraprende per la prima volta) e adottare misure conseguenti, adeguate. Ma a monte, non a valle. Un punto importante da segnalare è questo: le misure di cui si parla non si esauriscono nelle misure di sicurezza “tecniche”, anche se la sicurezza è un elemento integrante della qualità del dato nel nuovo sistema GDPR.Consideriamo l’Articolo 5(1), lettera f), del GDPR: non è possibile trattare un dato personale se non se ne garantisce (anche) la sicurezza. Cioè la gestione della sicurezza è necessaria, ma non sufficiente a configurare una gestione corretta del dato. La sicurezza diviene principio di qualità delle informazioni, quindi non si limita all’applicazione di strumenti tecnici di difesa.

Una visione proattiva

In sostanza, il GDPR invita a una visione proattiva, non difensiva: le misure di accountability per dimostrare questa proattività sono tecniche E organizzative (v. Art. 24). Fra le prime, il regolamento menziona alcuni esempi di tecniche da applicare ai dati per consentirne un utilizzo e riutilizzo rispettoso dei principi generali di “protezione dei dati sin dalla fase di progettazione” e “protezione dei dati per impostazione predefinita”: pseudonimizzazione, cifratura, anonimizzazione. Fra le seconde, ve ne sono varie che segnalano una particolare attenzione alla liquidità del mondo digitale: l’uso di icone per fornire informative sintetiche, associato a un approccio “stratificato” (nel senso che dall’icona si deve risalire a contenuti più dettagliati e specifici); il vincolo contrattuale che deve legare responsabile e titolare del trattamento, ma anche co-titolari di un trattamento, eventualmente attraverso clausole contrattuali modello riutilizzabili in più contesti; la possibilità per chi opera in outsourcing (il responsabile del trattamento) di designare direttamente, senza passare dal titolare, altri sub-responsabili che svolgano parti del trattamento per suo conto (sempre sulla base di specifici contratti); la promozione di strumenti di autodisciplina quali certificazioni e codici di condotta.

Se, dunque, nel GDPR si deve vedere una nuova release di norme il cui nucleo duro resta confermato, si può affermare che chi ha già fatto bene in questi anni (quelli trascorsi dalla prima legge italiana sulla protezione dei dati, la n. 675 del 1996) non ha sostanzialmente molto da fare.

Le priorità nell’adeguamento al GDPR

Ci sono però alcune priorità che si possono indicare:

1. in primo luogo, guardarsi in pancia, fare una mappatura dei processi e dei flussi di dati personali. Questo censimento, che poi è logicamente il primo atto di ogni processo di auto-coscienza, può confluire nel registro delle attività di trattamento previsto all’art. 30 del GDPR. È un punto di partenza essenziale, oltre che espressione del principio di accountability.
2. Poi, e sulla base di questo censimento: sapere chi fa cosa e perché; individuare i processi più a rischio, nel senso che si diceva sopra: quelli che comportano dati sensibili, trattamenti su larga scala (in senso geografico o numerico, oppure per ripetitività), molti soggetti esterni coinvolti (si pensi ai servizi cloud).
3. Quindi: intervenire su questi processi proattivamente: minimizzare i dati ove necessario, iniziare un processo virtuoso abituandosi a ragionare in termini di valutazione di impatto (art. 35), cui potrà seguire l’eventuale consultazione (non autorizzazione) del Garante.
4. Soprattutto: creare una rete interna di raccordo, meglio se con la presenza di un DPO, il “responsabile della protezione dei dati”: think data protection, si potrebbe affermare, prima e durante ogni progetto.

Indubbiamente questo nuovo paradigma gestionale richiede un investimento di risorse, umane e finanziarie. Ma il processo virtuoso, una volta innescato, si autoriproduce ed è in grado di adattarsi ai nuovi elementi (di rischio o di opportunità) che si presentano. Questa è la vera scommessa della accountability. Anche perché nel sistema digitale la fiducia è chiave, insieme alla reputazione: basta niente per distruggere anni di attività. Vale la pena di ribadirlo: l’approccio alla tutela del dato non è più solo difensivo, perché la protezione dei dati personali è anche promozione dell’utilizzo corretto dei dati.