Da un lato un’elasticità talvolta eccessiva nella sua applicazione, con molte linee guida e poche prescrizioni, dall’altro una mancanza di controlli costanti e incisivi, possono far erroneamente credere a imprenditori e professionisti che l’applicazione del Regolamento Europeo 697/2016 sia soltanto una delle tante prescrizioni normative che cadranno nel niente.

Il rischio di sanzioni spaventa? Confidando in quello che è un rischio all’apparenza basso di incappare in controlli o segnalazioni all’autorità garante, sono molti coloro che non si sono ancora adeguati (alcune statistiche parlano di circa il 75%) mentre altre realtà adottano forme di tutela dei dati decisamente minimali e quasi mai sufficienti ma che ritengono bastevoli alle loro dimensioni. Purtroppo non è così e le sanzioni decisamente salate emesse dal Garante Privacy nei confronti non solo di alcuni operatori grandi dimensioni, ma anche di call center, sembra non contribuire ad aumentare il livello di consapevolezza in chi dovrebbe porre in essere un’attività delicata e, viceversa, dimentica di avere la qualifica di Titolare del Trattamento dei dati in suo possesso.

Diamo atto che è comunque la norma stessa a lasciare non poca libertà di scelte e di movimento nell’adozione di una policy protezione dati; questo dato di fatto e la paura di costi eccessivi, se non inutili (a tal proposito consiglio la lettura di questo articolo), sembra indurre molti operatori a scegliere soluzioni “fai da te” quali nominare responsabili figure interne, usare informative trovate in rete, limitare la sicurezza ad antivirus economici e suggerire al personale di cambiare frequentemente password. Decisamente poco per una qualsiasi azienda che voglia proteggere, prima di tutto per se stessa, quel capitale che è rappresentato dai dati dei propri clienti, fornitori, lavoratori stessi e collaboratori; dati che vengono lasciati con troppa leggerezza non solo esposti in computer e cloud, ma anche agli occhi indiscreti, ad esempio, di un addetto alle pulizie o anche solo di personale di un diverso reparto. Si chiamano entrambi Data Breach; chissà se un imprenditore ci aveva pensato o se si è premurato di chiederlo ad un consulente competente e non improvvisato.

Rinviare la presa d’atto non è, allo stesso modo, soluzione consigliabile, anche se pare che pure a livello legislativo si senta il bisogno urgente di maggiori indicazioni specialmente su alcune problematiche non sempre ben valutate dalle aziende; una su tutte quella della portabilità dei dati. Chiediamoci quante aziende sarebbero in grado di garantire la portabilità dei dati dai loro archivi a un nuovo titolare indicato da un interessato. Il rischio di creare non pochi danni è concreto e confidare che il nuovo titolare abbia un sistema compatibile con il proprio è eufemismo puro. Così c'è un rischio di contenziosi, costi e sanzioni non proprio irrilevante.

Il rischio maggiore, non ci stancheremo di porlo in evidenza, non è solo quello delle sanzioni emesse dal Garante, ma anche quello dei provvedimenti interdittivi, cautelari o, addirittura, quelli che vanno ad incidere sulla struttura dell’azienda imponendo, ad esempio, l’adozione di nuove procedure o l’invio di comunicazioni massive alla clientela (è il caso di Vodafone, ne ho parlato qui). Non solo costi, ma anche danni di immagine incalcolabili.

Il 2020, con il lockdown e la necessità di adottare nuove modalità di lavoro che potrebbero non solo prolungarsi, ma anche diventare definitive, è stato l’anno in cui gli attacchi informatici sono aumentati in maniera esponenziale e non solo le grandi aziende si trovano esposte a furti di dati, spamming, ransomware e possibili estorsioni, ma anche piccoli imprenditori e professionisti corrono gli stessi rischi.

Siamo lontani da una consapevolezza diffusa del concetto di protezione del dato ed il vero terrore è quello di rendersene conto quando sarà tropo tardi.