Per le imprese, che siano titolari o responsabili del trattamento, la compliance al GDPR è una questione innanzitutto organizzativa.
È scritto chiaramente nel Regolamento UE che, al Capo IV: Titolare del trattamento e responsabile del trattamento. Sezione 1: obblighi generali. Articolo 24: responsabilità del titolare del trattamento. Paragrafo 1, recita testualmente: “[…] il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. […]”.
Senza un’organizzazione, cioè personale e strumenti tecnici, procedure, ruoli e responsabilità formalmente assegnati e tutta la formazione e l’impegno del management necessari perché lo sforzo aziendale sia efficace, nessuna azienda può assicurare la protezione dei dati personali né i diritti e le libertà degli interessati.
Quindi, senza un adeguato sforzo organizzativo, nessuna azienda può essere conforme al GDPR.
In questi tre anni dal 25 maggio 2018, la compliance al GDPR è stata, invece, considerata innanzitutto un tema da legali: l’ufficio legale interno o i consulenti legali. In subordine, un tema di cyber security, l’altra categoria di esperti a cui è stata riconosciuta una competenza specifica.
Il resto dell’azienda ha guardato dal di fuori, felice di non essere coinvolta più di tanto ed enfatizzando, in caso contrario, la specifica incompetenza sull’uno o sull’altro aspetto.
Certo, nessuna situazione è tutta bianca o tutta nera. Ci sono aziende che hanno affrontato il tema in modo equilibrato. Ma l’immagine descritta è ragionevolmente realistica in moltissimi casi, indipendentemente dai soldi spesi, tanti o pochi, e dal consulente scelto.
La difficoltà a intervenire sull’organizzazione, cioè a modificare il modo di lavorare quotidiano e i contenuti professionali dei diversi ruoli è motivata da alcune ragioni fondate e da altre riconducibili alla non adeguata percezione del problema e dunque alla sottostima della profondità della trasformazione digitale.
Di fronte alla rilevanza e alla complessità del tema affrontato dal GDPR, soprattutto in queste decadi di rivoluzione digitale, ci sono due vie di fuga in cui è invitante e quasi spontaneo rifugiarsi: da un lato la sottovalutazione, cioè la tendenza a derubricare il tema a “burocrazia inutile” e dall’altro a esasperare i contenuti tecnico-legali così che solo avvocati specializzati e cyber esperti possano capirci qualcosa e occuparsene.
Non sono vie di fuga alternative ma complementari: quanto più si esaspera il latinorum legale o tecnologico tanto più si rafforzano gli alibi di chi ha buon gioco a ridurre il tema privacy allo strapotere della burocrazia improduttiva dei ministeri, dei Governi e di Bruxelles e a disinteressarsene.
Si creano così ruoli di DPO, consulente, legale d’impresa che rischiano di diventare autoreferenziali, confinati nei propri ambiti aziendali e separati dal resto: questo non aiuta di certo la compliance.
Tra le difficoltà reali sta invece il fatto che, in un Paese di PMI ma anche di imprese medio-grandi e grandi, dove lo strato organizzativo è sottilissimo e l’organizzazione è poco strutturata e ancor meno formalizzata, introdurre cambiamenti nel modo di operare per ragioni di compliance è complicato.
Non è un problema riconducibile ad aspetti meramente quantitativi: aumentare le risorse disponibili non è un problema di budget solamente. Non è facile, anche per aziende medio-grandi, trovare, motivare e trattenere competenze professionali alte e specialistiche per ruoli non sempre a tempo pieno. Adottare un software a supporto è certamente fondamentale ma farlo funzionare nell’operatività quotidiana reale è un problema ulteriore che rimanda all’organizzazione complessiva.
Il punto è di merito e riguarda il significato della compliance al GDPR per le aziende grandi e piccole: dopo tre anni passati a produrre un’informativa dopo l’altra, clausole e allegati per la nomina dei responsabili del trattamento, autorizzazioni al trattamento per i dipendenti e i collaboratori, bilanciamenti di interessi e, soprattutto, una mole imponente di DPIA, spesso consistenti nell’affermazione dell’ovvio, è giunto il momento, non più eludibile, di accettare il fatto che la compliance, per le imprese, è innanzitutto un tema organizzativo e che, senza una adeguata e proporzionata organizzazione, gli interventi specialistici, legali di cybersecurity o di data governance, possono risolvere solo aspetti puntuali in un certo momento ma non garantire la compliance.
A partire dalla necessità di mantenere aggiornato l’imponente corpo documentale prodotto, innanzitutto il registro dei trattamenti (art. 30) e le correlate informative, per proseguire con la corretta proceduralizzazione del processo di gestione degli acquisti da fornitori responsabili di trattamento (art. 28) e per arrivare, risalendo il fluire ordinato degli articoli, all’articolo 25, il secondo della sezione 1 del capo IV del GDPR, dopo quello sopra ricordato: la protezione dei dati personali fin dalla progettazione e per impostazione definita.
L’articolo 24, citato all’inizio, è certamente uno degli articoli più importanti e, al contempo, più trascurati del GDPR, proprio perché contiene una prescrizione di natura esclusivamente organizzativa e dunque poco comprensibile e poco stimolante per legali e cybersecurity e, forse, troppo comprensibile per il management.
È infatti evidente a chiunque che, dato un corpo documentale corretto e coerente per una certa organizzazione in un certo istante t0, il mantenimento di correttezza e coerenza all’istante t1 dipende solo da come è stato regolato e documentato il cambiamento intercorso nell’organizzazione tra t0 e t1: il nodo cruciale del mantenimento della compliance nel tempo sta nella gestione del cambiamento che è esattamente l’oggetto dell’art. 25, cioè della data protection by design e by default.
Tornando al mettere l’organizzazione al centro della compliance: senza questa focalizzazione, il rischio è di spendere per risultare comunque non conformi. Cioè, spendere senza ridurre il rischio di compliance che, peraltro, non si esaurisce nel rischio di sanzioni o di contenziosi ma contiene anche, in molti contesti, un rischio di sostenibilità del business stesso perché i dati personali ne sono sempre più un asse portante e la legittimità e la correttezza del loro utilizzo costituiscono un tema che non può essere trascurato o sottovalutato.
Non è una sfida facile e ci vuole molto buon senso, anche nell’Autorità di Controllo, per vincerla, ma alla fine, chi l’avrà vinta, si troverà ad aver sviluppato una cultura aziendale utile o, forse, decisiva, in tante altre sfide che aspettano le imprese italiane, a partire dalla sostenibilità e dal cambiamento sotteso.