In questi ultimi mesi, periodo nel quale abbiamo seguito alcuni tavoli di lavoro circa l’adeguamento al Regolamento Generale per la Protezione dei Dati personali, sono ancora molte le aree di incertezza che caratterizzano il contesto, soprattutto a fronte del mancato recepimento nazionale della normativa e dell’assenza di relative linee guida d’applicazione in grado di fornire continuità con le regole già definite in passato a proposito di privacy.
In questo stesso periodo abbiamo anche in qualche modo potuto mappare differenti atteggiamenti che hanno contraddistinto le organizzazioni nello svolgimento delle attività di adeguamento. Alcune si sono dimostrate fortemente proattive nel determinare soluzioni interpretative. Altre si sono confrontate con “il minimo sindacale”, demandando ad una seconda fase l’applicazione delle aree significative di miglioramento proposte da questo nuovo regolamento. Altre ancora hanno deciso di aspettare, anche se oltre i termini stabiliti, attendendo istruzioni ancor più chiare e confidando nella possibile clemenza circa l’applicazione delle sanzioni per l’anno in corso; breccia aperta dal Garante francese e immediatamente smentita da quello italiano. Infine abbiamo intercettato anche organizzazioni – ci riferiamo soprattutto a quelle più piccole e ai professionisti già affogati nell’operatività quotidiana – che del concetto di privacy conoscono solo l’esistenza: intendiamoci, chi non consegnava un’informativa prima, piano piano arriverà a farlo ora, ma solo per lo spauracchio delle sanzioni.
Certo è che non ci saremmo mai aspettati di intercettare un altro ulteriore atteggiamento. Un atteggiamento sfacciatamente illegale, irriguardoso per i diritti fondamentali riconosciuti in ambito internazionale e per le istituzioni. Un atteggiamento fondato non solo sull’abitudine a non rispettare le regole, ma anche a minacciare chiunque si azzardi a fare qualcosa per applicarle.
Avete mai immaginato che qualcuno possa minacciare il Garante in caso di richiamo formale per trattamenti illeciti o per non conformità rispetto ai requisiti definiti dal GDPR? Avete mai immaginato che qualcuno possa identificare una strategia valida d’adeguamento nello scatenare contro l’autorità garante i sindacati, facendo leva su migliaia di posti di lavoro? In sostanza la soluzione sarebbe: «o lasci perdere, o licenziamo migliaia di persone». E credete che i sindacati sarebbero disposti a gestire una situazione come questa col pugno di ferro? Cosa sceglierebbero, l’integrità del principio di legittimità oppure una mediazione sbilanciata a consentire l’illecito pur di salvare i lavoratori a rischio?
In un quadro del genere, gli unici a rimetterci sul serio sarebbero solamente i lavoratori, beffeggiati per tre volte. La prima perché non sarebbe rispettato il loro diritto alla privacy. La seconda perché, attraverso le profilazioni compiute, in barba anche alle regole definite nello statuto dei lavoratori, sarebbero soggiogati con discriminazioni d’ogni genere. La terza perché finirebbero per perdere il posto di lavoro, qualora decidessero di far valere a tutti i costi i propri diritti.
Sembra solo immaginazione. Eppure qualcuno ne ha parlato, senza vergogna, a testa alta e recriminando con lo sguardo un assenso dovuto, come fosse una soluzione perspicace.