Sono passati sei mesi dalla piena applicazione del GDPR, la normativa europea sulla protezione dei dati personali.
Sono ormai noti gli impatti che il Regolamento (a cui gli enti pubblici e privati erano tenuti ad adeguarsi sin dal 2016, anno della sua entrata in vigore) porta con sé, in particolare a livello di gestione della sicurezza: l’approccio prescrittivo della scorsa normativa (checklist di misure minime da rispettare, misure idonee et similia) lascia il posto ad un approccio risk based, secondo cui il Titolare e il Responsabile del trattamento “mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”.
È tuttavia opportuno, dopo questo primo periodo di applicazione, chiedersi che cosa sia realmente cambiato e quale sia la “temperatura” percepita in Europa e – più in generale nel resto del mondo – rispetto al tema della protezione dei dati personali.
Proprio rispetto a quest’ultimo profilo, va detto che il GDPR sta effettivamente realizzando indirettamente una delle aspettative per cui era nato, vale a dire quella di divenire uno standard condiviso globalmente. Numerosi Paesi terzi rispetto a quelli dell’Unione, anche per tentare di accrescere il livello delle proprie politiche normative contro lo stra-potere di Stati Uniti e Cina in termini di mercato legato al mondo delle tecnologie e del web, hanno intrapreso percorsi normativi ispirati al GDPR o in alcuni casi integralmente parametrati su di esso.
Anche tra gli OTT, gli “over the top”, c’è chi ha ritenuto – probabilmente anche per ragioni legate alla strategia di business – di invocare pubblicamente un GDPR “federale” per gli USA, ribadendo la riservatezza come un diritto fondamentale dell’uomo (fattore che si tende troppo spesso a dimenticare) e non come l’ennesimo elemento della persona da monetizzare.
Vi sono altri aspetti, che per ragioni tecniche e di sede, non è possibile né utile affrontare in questa piccola riflessione: sensibilizzazione, dialogo sul tema della sicurezza delle informazioni, formazione e riorganizzazione dei processi di business sono solo alcuni degli aspetti per i quali il GDPR ha fornito ispirazione a livello nazionale ed europeo. Rispetto agli ultimi vent’anni – di parziale o in alcuni casi totale immobilità – lo scenario sta effettivamente mutando.
Vale la pena tuttavia spendere ora qualche parola sotto il secondo profilo, ovvero, in altre parole: cosa manca?
La cattiva notizia è infatti che quanto abbiamo visto poc’anzi è ben lontano da essere abbastanza. Manca qualcosa, e anzi – soprattutto in Italia – ben più di qualcosa.
Senza girare troppo intorno al problema e riprendendo gli spunti condivisi con altri esperti del settore, da sei mesi a questa parte è rimasta immutata una ben precisa situazione: la totale mancanza di una seria cultura della sicurezza sia a livello politico che manageriale.
L’ultimo caso emblematico di quest’assenza – per certi versi sconfortante e sconcertante al tempo stesso - è stato quello verificatosi qualche giorno fa (leggi articolo), quando è stata resa nota la violazione di 500 mila account di posta elettronica certificata, alcune delle quali (circa 9 mila) appartenenti a magistrati e molte altre (98 mila circa) collegate invece al Comitato interministeriale per la sicurezza della Repubblica. Alla notizia è conseguito un breve clamore, qualche azione che definirei preistorica e di costume (“cambiare password”) ed alcune risposte (talune, decisamente fuori luogo, meramente ironiche) per poi tornare gradualmente nell’oblio a cui sono destinate storicamente le notizie e i fatti – anche gravi – sui temi della riservatezza delle informazioni e della sicurezza delle stesse.
Senza entrare nel merito e lasciando ovviamente a chi di dovere le importanti indagini che si spera conseguano a questo fatto, non servono molte altre parole per descrivere lo stato di grave incertezza in cui versa l'Italia: chi si occupa del tema sicurezza ha spesso le “mani legate” da anni di omissioni e mancanze, e non è certo questo il momento delle recriminazioni, ammesso che esse possano dirsi legittime.
Ecco però, che ciò che manca (nonostante uno strumento forte sotto il profilo gerarchico-normativo come il GDPR), ciò che non abbiamo visto in questi sei mesi e ciò che non smettiamo di sperare che avvenga per il bene dell’intero Paese e del suo tessuto sociale, pubblico e imprenditoriale, è che le Autorità competenti sul tema affianchino e formino adeguatamente gli operatori del settore, e si assicurino che gli standard (davvero minimi, vista la situazione critica in cui versiamo) di accountability e di approccio ai rischi fissati dalla norma siano integralmente rispettati, interagendo e comminando – ove del caso – le sanzioni e le risposte decise che il Regolamento stesso riconosce loro.
C’è una operazione su vasta scala da compiere in questo Paese in materia di formazione e cultura della sicurezza, e continuare a rimandarne l’avvio per mancanza di comprensione del tema comporterà un distacco sempre crescente tra la realtà e la percezione del tema in Italia, sino a quando – nostro malgrado – questo distacco diverrà talmente ampio da costituire la regola, anche e soprattutto rispetto al resto d’Europa. Da ultimo vale la pena ricordare che a peggiorare l’intero quadro contribuisce anche e soprattutto una totale assenza di investimenti concreti e guidati in materia di sicurezza nei confronti di un tessuto industriale che si ritrova per lo più a dover maneggiare – senza fondi adeguati – informazioni di alto valore e di forte vulnerabilità in via del tutto arbitraria e improvvisata.
Poche parole: occorre iniziare a cambiare, e con urgenza anche.
(foto: web / U.S. Air Force)
