Per le imprese, che siano titolari o responsabili del trattamento, la compliance al GDPR è una questione innanzitutto organizzativa.
È scritto chiaramente nel Regolamento UE che, al Capo IV: Titolare del trattamento e responsabile del trattamento. Sezione 1: obblighi generali. Articolo 24: responsabilità del titolare del trattamento. Paragrafo 1, recita testualmente: “[…] il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. […]”.
Senza un’organizzazione, cioè personale e strumenti tecnici, procedure, ruoli e responsabilità formalmente assegnati e tutta la formazione e l’impegno del management necessari perché lo sforzo aziendale sia efficace, nessuna azienda può assicurare la protezione dei dati personali né i diritti e le libertà degli interessati.
Quindi, senza un adeguato sforzo organizzativo, nessuna azienda può essere conforme al GDPR.
GDPR, una protezione tra rischi e pericoli per le persone fisiche e per l’economia
Indice degli argomenti
Imprese e GDPR: difficoltà reali della compliance normativa
In questi tre anni dal 25 maggio 2018, la compliance al GDPR è stata, invece, considerata innanzitutto un tema da legali: l’ufficio legale interno o i consulenti legali. In subordine, un tema di cyber security, l’altra categoria di esperti a cui è stata riconosciuta una competenza specifica.
Il resto dell’azienda ha guardato dal di fuori, felice di non essere coinvolta più di tanto ed enfatizzando, in caso contrario, la specifica incompetenza sull’uno o sull’altro aspetto.
Certo, nessuna situazione è tutta bianca o tutta nera. Ci sono aziende che hanno affrontato il tema in modo equilibrato. Ma l’immagine descritta è ragionevolmente realistica in moltissimi casi, indipendentemente dai soldi spesi, tanti o pochi, e dal consulente scelto.
La difficoltà a intervenire sull’organizzazione, cioè a modificare il modo di lavorare quotidiano e i contenuti professionali dei diversi ruoli è motivata da alcune ragioni fondate e da altre riconducibili alla non adeguata percezione del problema e dunque alla sottostima della profondità della trasformazione digitale.
Di fronte alla rilevanza e alla complessità del tema affrontato dal GDPR, soprattutto in queste decadi di rivoluzione digitale, ci sono due vie di fuga in cui è invitante e quasi spontaneo rifugiarsi: da un lato la sottovalutazione, cioè la tendenza a derubricare il tema a “burocrazia inutile” e dall’altro a esasperare i contenuti tecnico-legali così che solo avvocati specializzati e cyber esperti possano capirci qualcosa e occuparsene.
Non sono vie di fuga alternative ma complementari: quanto più si esaspera il latinorum legale o tecnologico tanto più si rafforzano gli alibi di chi ha buon gioco a ridurre il tema privacy allo strapotere della burocrazia improduttiva dei ministeri, dei Governi e di Bruxelles e a disinteressarsene.
Si creano così ruoli di DPO, consulente, legale d’impresa che rischiano di diventare autoreferenziali, confinati nei propri ambiti aziendali e separati dal resto: questo non aiuta di certo la compliance.
Tra le difficoltà reali sta invece il fatto che, in un Paese di PMI ma anche di imprese medio-grandi e grandi, dove lo strato organizzativo è sottilissimo e l’organizzazione è poco strutturata e ancor meno formalizzata, introdurre cambiamenti nel modo di operare per ragioni di compliance è complicato.
Il vero significato della compliance al GDPR
Non è un problema riconducibile ad aspetti meramente quantitativi: aumentare le risorse disponibili non è un problema di budget solamente. Non è facile, anche per aziende medio-grandi, trovare, motivare e trattenere competenze professionali alte e specialistiche per ruoli non sempre a tempo pieno. Adottare un software a supporto è certamente fondamentale ma farlo funzionare nell’operatività quotidiana reale è un problema ulteriore che rimanda all’organizzazione complessiva.
Il punto è di merito e riguarda il significato della compliance al GDPR per le aziende grandi e piccole: dopo tre anni passati a produrre un’informativa dopo l’altra, clausole e allegati per la nomina dei responsabili del trattamento, autorizzazioni al trattamento per i dipendenti e i collaboratori, bilanciamenti di interessi e, soprattutto, una mole imponente di DPIA, spesso consistenti nell’affermazione dell’ovvio, è giunto il momento, non più eludibile, di accettare il fatto che la compliance, per le imprese, è innanzitutto un tema organizzativo e che, senza una adeguata e proporzionata organizzazione, gli interventi specialistici, legali di cybersecurity o di data governance, possono risolvere solo aspetti puntuali in un certo momento ma non garantire la compliance.
A partire dalla necessità di mantenere aggiornato l’imponente corpo documentale prodotto, innanzitutto il registro dei trattamenti (art. 30) e le correlate informative, per proseguire con la corretta proceduralizzazione del processo di gestione degli acquisti da fornitori responsabili di trattamento (art. 28) e per arrivare, risalendo il fluire ordinato degli articoli, all’articolo 25, il secondo della sezione 1 del capo IV del GDPR, dopo quello sopra ricordato: la protezione dei dati personali fin dalla progettazione e per impostazione definita.
L’articolo 24, citato all’inizio, è certamente uno degli articoli più importanti e, al contempo, più trascurati del GDPR, proprio perché contiene una prescrizione di natura esclusivamente organizzativa e dunque poco comprensibile e poco stimolante per legali e cybersecurity e, forse, troppo comprensibile per il management.
È infatti evidente a chiunque che, dato un corpo documentale corretto e coerente per una certa organizzazione in un certo istante t0, il mantenimento di correttezza e coerenza all’istante t1 dipende solo da come è stato regolato e documentato il cambiamento intercorso nell’organizzazione tra t0 e t1: il nodo cruciale del mantenimento della compliance nel tempo sta nella gestione del cambiamento che è esattamente l’oggetto dell’art. 25, cioè della data protection by design e by default.
Adeguamento delle imprese al GDPR: un problema di organizzazione
La domanda successiva è, conseguentemente: dove avviene il cambiamento in azienda? E chi lo controlla? La risposta alla prima domanda è: ovunque. Alla seconda è: puntualmente c’è sempre un responsabile, complessivamente nessuno.
È chiaramente un’iperbole. I grandi cambiamenti sono controllati anche perché si trascinano grossi budget e grandi aspettative. Però, la vita di un’azienda è fatta di una dinamica inevitabilmente distribuita e le soglie di responsabilità e di autonomia decisionale, considerato il costo decrescente delle tecnologie, consentono spesso investimenti locali, finalizzati a obiettivi specifici di cui c’è poco controllo centralmente, soprattutto in riferimento ad aspetti non primari come la protezione dei dati personali.
Insomma, l’articolo 25 non è applicato, non sempre per cattiva volontà ma perché è difficile da applicare, senza un’organizzazione strutturata e una volontà determinata del management.
Non è tanto un problema di costi ma proprio di organizzazione. E questa è la sfida dei prossimi anni: assicurare che il cambiamento fluisca senza intralci dal reparto che lo genera nel registro dei trattamenti. E lo faccia con naturalezza, per sua stessa inerzia. E che conseguentemente si adeguino le informative, i contratti e le misure di sicurezza e tutto il resto.
Dunque, il cuore del lavoro dei prossimi anni è organizzativo, prima che legale o tecnico. Per garantire la corretta gestione del cambiamento e dell’innovazione e documentare, motivandole, le scelte finalizzate a una conformità sostanziale e non meramente formale al GDPR, concentrata sugli aspetti rilevanti e non sui cavilli ed equilibrata. Anche prendendosi dei rischi motivati e documentati, in relazione al contesto operativo e alle compatibilità economiche.
Alle imprese serve una conformità sostanziale al GDPR
Per mettere a fuoco il concetto di conformità sostanziale contrapposto a quello di conformità meramente formale, è utile fare riferimento alle valutazioni preliminari di impatto, le famigerate e già citate DPIA.
Se si applicano meccanicamente le indicazioni scritte nei vari provvedimenti delle Autorità di Controllo o le regole cablate nel famosissimo tool del Garante francese diventa, infatti, non semplice individuare trattamenti che non richiedano una valutazione preliminare di impatto.
Questa proliferazione, però, contraddice l’obiettivo sostanziale degli artt. 35 e 36 perché trasforma la DPIA in una specie di tassa burocratica obbligatoria e meccanica, senza alcun contenuto sostanziale rilevante: un obbligo formale da onorare al minor costo possibile. Il rischio è che il numero di DPIA diventi, di fatto, la misura del potere del DPO o il forecast del consulente.
Peccato che l’articolo 35 del GDPR inizi così: “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie […] può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” e dunque perché fare una DPIA se si cambia l’ERP? E’ solo allorché sono previste nuove tecnologie, dunque, che nasce la necessità di considerare i criteri di cui sopra per determinare la necessità della DPIA, non tutte le volte che un trattamento (magari in essere da vent’anni) soddisfa due delle condizioni previste dal Garante.
L’aspetto sostanziale e quello formale confliggono: più DPIA si fanno, più si banalizza e si burocratizza il processo e meno si riesce ad assicurare il dovuto approfondimento. Invece, è proprio di quello che abbiamo bisogno perché le nuove tecnologie, soprattutto se mescolate insieme, comportano facilmente implicazioni davvero gravi per i diritti e le libertà degli interessati. Basti pensare al mix fra cloud, big data, IA ed esportazione di dati extra EU.
Conclusione
Tornando al mettere l’organizzazione al centro della compliance: senza questa focalizzazione, il rischio è di spendere per risultare comunque non conformi. Cioè, spendere senza ridurre il rischio di compliance che, peraltro, non si esaurisce nel rischio di sanzioni o di contenziosi ma contiene anche, in molti contesti, un rischio di sostenibilità del business stesso perché i dati personali ne sono sempre più un asse portante e la legittimità e la correttezza del loro utilizzo costituiscono un tema che non può essere trascurato o sottovalutato.
Non è una sfida facile e ci vuole molto buon senso, anche nell’Autorità di Controllo, per vincerla, ma alla fine, chi l’avrà vinta, si troverà ad aver sviluppato una cultura aziendale utile o, forse, decisiva, in tante altre sfide che aspettano le imprese italiane, a partire dalla sostenibilità e dal cambiamento sotteso.
