Finalmente è entrato in vigore il GDPR, che, per chi non lo sapesse (c’è ancora qualcuno che non lo sa?!), sta per “General Data Pain-in-the-ass Regulation”.
Le buone notizie sono tante, a partire dal fatto che, contrariamente a quanto temevano i beninformati, l’universo non ha avuto un nuovo “big bang” (non ancora, per lo meno, anche se le cassandre di turno hanno già indicato una nuova data: quella di scadenza del “grace period” semestrale concesso dal Garante Francese).
Finalmente vivremo liberi dal “peccato originale” del “trattamento-non-autorizzato-dei-dati-personali”.. e scusate se è poco! Tanto per fare un esempio: sono già in via di stampa le Bibbie in cui i nomi di “Adamo” ed “Eva” vengono oscurati tramite gli appositi asterischi (diventando “A****” ed “E**”, per intenderci), cosicché il mondo non sappia chi è stato il primo cazzone e chi la prima rompipalle della storia. D’altro canto siamo tutti stati mondati dalle loro colpe grazie alla nascita di Gesù Cristo, motivo per cui è giusto che quanto fatto da Adamo ed Eva cada nel sacrosanto “oblio”, conformemente a quanto statuito dalla Corte di Giustizia dell’U.E. nel caso “Google Spain”.
Noi interessati potremo finalmente avere il controllo sui nostri dati.. ci pensate? IL CONTROLLO! Quindi dichiarando apertamente su “faccialibro” di vivere in un dato luogo e postando continuamente foto della nostra Ferrari saremo assolutamente tranquilli che nessuno possa mai raccogliere ed elaborare le due informazioni per venirci a fottere la macchina! E ove mai qualcuno lo facesse, potremo fermarlo semplicemente urlandogli “ti nego il consenso al trattamento dei miei dati” mentre si allontana in sella al nostro bolide.
Niente più dati che circolano incontrollati, vi rendete conto? Ad esempio, se parlando su whatsapp con i colleghi ci venisse chiesto “perché oggi Tizio non è venuto?”, prima di poter rispondere che “Tizio è rimasto a casa perché ha la diarrea” dovremo chiamare Tizio, informarlo sulle finalità (amabile chat con colleghi) e modalità del trattamento (mezzi informatizzati), nonché sui possibili destinatari dei dati (tutti quelli che stanno sul gruppo.. e sfido chiunque a sapere nome, cognome e faccia di tutti i milioni di persone che popolano i gruppi whatsapp, ancorché per “tipologia”), nonché – e soprattutto – raccogliere il consenso di Tizio.. oh, che vi credete: la diarrea è un dato di “particolare categoria” (fino a ieri avremmo detto “sensibile”), mica pizza e fichi!
Tempi duri per i “titolari” italiani, chiamati a superare la prova dell’“accountability”. Praticamente l’equivalente privacy del “salto della fede” in “Indiana Jones e l’ultima crociata”: non sai chemminchia devi fare, sai solo che se non sei “accountable” sono sanzioni. E mentre intorno a te colleghi titolari e guru della privacy si affrettano a dire che “non sei accountable se mensilmente non ti fai fare almeno 1 penetration test da un hacker white hat”, tu pensi “no, io sto a posto, m’ha già testato l’agenzia delle entrate il mese scorso, anche se quelli che sono venuti in azienda non avevano il cappello bianco ma grigio”.
Nasce una nuova ed interessantissima figura professionale: il “Responsabile per la Protezione dei Dati” o “DPO”, secondo l’acronimo inglese di “Data Protection Officer”. Il DPO altro non è che una figura super partes che assicura l’accountability del data controller (e/o del data processor), facendogli auditing, training delle HR, counseling, verifica della “Protection Impact Assessment”, collaborando col nemico (leggi “data subject” o “leading authority”) in caso di “data-breach” e, magari, facendo lui stesso learning on the job. Chiaro no?
Il GDPR ha ricordato a tutti che è dato personale anche un numero su di un cartellino. Gli analisti di Wall Street si aspettano ora un aumento del 1000% sulle vendite di cartellini plastificati a seguito delle millemila richieste di “portabilità” che presto travolgeranno i titolari.
Da ultimo, il GDPR mira a favorire – e favorirà – la circolazione “controllata” dei dati personali ed un minimo di sensibilità su ciò che è opportuno fare con i dati personali e su ciò che non lo è. I titolari che in questi mesi si sono formati sentiranno accendersi l’“allarme privacy” anche solo comprandosi una nuova calcolatrice ad energia solare per l’ufficio: data l’enorme diffusione di cavalcavia in Italia, non è detto che tutti riescano a superare l’anno, ma almeno così si formerà una nuova classe di titolari privacy oriented & skilled.. come il buon vecchio Duncan McLeod ci ha insegnato: “resterà soltanto il più accountable”. Lato interessati, tutti capiranno che un dato personale è un bene “suscettibile di valutazione economica” ex art. 1174 c.c. e, pertanto, che l’informativa non la leggevo prima come non la leggo ora, ma adesso il consenso lo nego a prescindere.