Un percorso di adeguamento al nuovo regolamento europeo per la tutela e la valorizzazione dei dati personali, nell’ottica di processo e non di prodotto promossa dal legislatore europeo, non dovrebbe essere affrontato, né approcciato, con la consueta italica superficialità, come invece, purtroppo, sta avvenendo per la maggioranza degli addetti ai lavori.
Se da un lato anche gli informatici e i giuristi “della domenica” si stanno lanciando anima e corpo nel nuovo business della data protection, continuando a chiamarla (erroneamente) privacy e sventolando come accreditamento non l’esperienza e la conoscenza della disciplina previste dalle nuove norme, bensì le stratosferiche sanzioni milionarie che rischiano le aziende, dall’altro c’è una calma apparente tra i destinatari di tale offerta – che quel percorso dovrebbero iniziarlo – che fa presumere: a) che non abbiano ancora la percezione dei tempi necessari per l’adeguamento; b) che non abbiano compreso affatto di doversi adeguare; c) che siano convinti di poter acquistare un pacchetto software o una consulenza spot qualche settimana prima della fatidica scadenza del 25 maggio 2018.
In realtà, il percorso di adeguamento passa attraverso una profonda analisi della realtà aziendale, pubblica o privata, dei suoi archivi digitali e cartacei, della sua struttura in termini di organico e distribuzione di compiti e responsabilità, per addivenire ad una rappresentazione dei flussi documentali, fisici e logici, e dell’intera vita aziendale, che sono la conoscenza indispensabile per avviare l’analisi dei rischi e la valutazione delle possibili contromisure.
Un processo che anche in realtà già strutturate e conformi all’attuale normativa italiana potrebbe comportare mesi di lavoro, partendo dal presupposto che un’azienda, soprattutto se di dimensioni importanti, non può fermarsi e restare in attesa che vengano modificati gli organici, riassegnati i compiti, specificati gli incarichi, revisionata la modulistica, assunti nuovi collaboratori, revisionati processi e sistemi, adeguato ogni ambito coinvolto nel trattamento dei dati.
Anche la semplice individuazione delle contromisure da adottare per addivenire ad una sicurezza “adeguata”, come prescrive il nuovo Regolamento, potrebbe comportare giorni se non settimane di ricerche e di valutazioni, di ordine tecnico, di ordine giuridico, di ordine economico. Non è detto, inoltre, che esistano figure professionali adeguate e soprattutto in numero sufficiente a soddisfare le esigenze di tutte le aziende pubbliche e di quelle private tenute a nominare un Data Protection Officer, tenendo presente che non sono ancora noti i criteri di certificazione (sui quali i DPO dovranno comunque avere il tempo di formarsi) e che molti attuali responsabili dei trattamenti saranno incompatibili con tale nuova mansione o non disposti (comprendendo i rischi connessi) ad assumere l’incarico.
Nel momento più caldo dell’anno 2018, ragionevolmente individuabile nel periodo tra marzo e maggio, si assisterà ad una mitizzazione del nuovo Regolamento analoga a quella della scadenza dei termini per il deposito dei DPS o del millenium bug, con l’analogia, rispetto a quest’ultimo, che non ci saranno proroghe, trattandosi di un Regolamento Europeo.
Si prospetta, quindi, una corsa dell’ultimo momento all’accaparramento di consulenti, prodotti, soluzioni, che sicuramente non farà bene al mercato, nè consentirà, almeno per i primi tempi, un reale adeguamento. Chi si muoverà per tempo, anticipando gli altri, ne otterrà sicuramente anche un vantaggio competitivo. Tutti gli altri dovranno accontentarsi di quel che resterà sul mercato in termini di capacità e competenze, con i rischi connessi (e questi ultimi, sarebbe bene che dessero un’occhiata, effettivamente, alle sanzioni previste dal nuovo Regolamento).