Ormai ci siamo, il 25 maggio 2018 il bastimento GDPR ha mollato definitivamente gli ormeggi con il suo carico di precetti – e castighi – che ancora non possiamo dire di conoscere a fondo, ma che ci accompagneranno presumibilmente a lungo. Com’era prevedibile, gli sforzi di vendor, consulenti, analisti e stampa specializzata non hanno impedito al nostro sistema imprenditoriale italiano di accumulare un certo ritardo nella messa in atto delle strategie di gestione del rischio che la normativa stessa prescrive.
La tutela dei dati sensibili immaginata dal legislatore europeo non è un imperativo astratto. Al contrario, il comportamento più virtuoso è quello che cerca di fare il proprio meglio nel definire i tracciati seguiti dal dato nell’ambito della propria organizzazione, nell’individuare gli anelli deboli della catena, nell’adottare ogni contromisura, nell’assumersi precise responsabilità del trattamento.
Lo scudo di protezione adottato non deve essere infallibile, ma commisurato al rischio e alla sensibilità dei dati stessi. A suo modo, il regolamento è indulgente: non pretende affatto che le violazioni non possano verificarsi. Ma impone di dimostrare di aver adottato ogni possibile accorgimento e di rispettare l’esplicita esortazione alla massima trasparenza, come nel caso delle fatidiche 72 ore di tempo, concesse per rendere pubblici gli episodi di compromissione, pena il versamento di una sanzione rilevante.
L’eccessiva vaghezza e la mancanza di istruzioni precise vengono da molti percepite come un demerito. Tuttavia, la genericità è legata più all’ampiezza dello spettro di applicazione di una norma che riguarda una vasta pluralità di casi e situazioni che hanno a che fare con informazioni di carattere personale conservate e trattate digitalmente. Questa apparente debolezza è più che compensata dalle virtù del regolamento: avere per la prima volta affrontato il tema del valore del dato nel contesto sempre più digitale del business e della gestione del rischio connesso a un valore che, evidentemente, è estremamente variabile a seconda dei diversi contesti. Ora non resta che proseguire, là dove necessario, con gli ultimi ritocchi alla propria strategia di compliance e affrontare la navigazione. Con un’ultima esortazione rivolta al regolatore in Italia: cerchiamo – in presenza di una normativa che di fatto affianca una analoga legge da tempo in vigore e per il bene di tutti – di fare la massima chiarezza giurisdizionale, di evitare le possibili sovrapposizioni e le ambiguità interpretative. Da parte dei tanti soggetti che dovranno adeguarsi, ci deve essere la consapevolezza del GDPR come efficace strumento di affermazione di una nuova cultura del dato, il petrolio dell’economia digitale.
Un doveroso richiamo conclusivo riguarda il GDPR come norma non isolata ma inserita in un più ampio sistema normativo di tutela digitale. Il 16 maggio scorso il Consiglio dei Ministri ha approvato il decreto legislativo che attua in Italia la direttiva 2016/1148 sulla protezione dei “Network and Information Systems”. Parallelamente, la legge di delegazione europea 2016/2017 approvata in parlamento il 25 ottobre 2017, ha varato anche, all’articolo 15, la direttiva 2016/943, relativa alla protezione dei segreti commerciali e al contrasto agli illeciti in materia, con termine di recepimento fissato al 9 giugno 2018. Le implicazioni di questa triade sul mercato della cybersecurity sono tutte da studiare, ma tutti i protagonisti di questo mercato sono chiamati a svolgere responsabilmente il proprio ruolo, agevolando il più possibile la conformità.
