Man mano che ci si avvicina all'entrata in vigore del GDPR aumenta l'attenzione delle imprese e, parallelamente, anche l'offerta dei vendor che stanno organizzandosi per offrire soluzioni il più possibile "chiavi in mano". Ma ormai la scadenza del 25 maggio sta diventando davvero impellente - siamo alla simbolica "soglia" dei 100 giorni - per le molte aziende che devono prima valutare e poi ripensare i propri processi di gestione dei dati, senza potersi affidare completamente a soluzioni pacchettizzate.

Uno dei temi che le aziende fanno forse più fatica a comprendere è che la privacy deve entrare a fare intrinsecamente parte della gestione delle informazioni, un principio che di solito si esplica nei concetti di privacy by design e privacy by default.

Privacy by design significa sostanzialmente che i processi che gestiscono in vario modo le informazioni personali devono essere costruiti in modo da tutelare la privacy. Non si tratta solo di una costruzione tecnologica: l'azienda deve sempre avere sotto controllo la catena di gestione dei dati (chi tratta il dato, perché, con quali strumenti e garanzie di sicurezza) perché deve potere sempre - in caso di una violazione dei sistemi o di un errore umano che portino alla perdita di dati - capire cosa è successo, tutelare i diritti degli interessati e attribuire le giuste responsabilità.



Al concetto di privacy by design è strettamente collegato quello di privacy by default, che è in parte più tecnico. Quando una corretta gestione delle informazioni è implementata "by design" si deve anche garantire che il normale funzionamento dei processi sia quello previsto sulla carta. Tutti i sistemi che gestiscono le informazioni devono cioè essere impostati perché l'uso dei dati sia corretto di default, in pratica eseguito solo ed esclusivamente nei casi espressamente previsti, dal personale autorizzato e con i passi corretti. Una gestione sbagliata delle informazioni deve idealmente derivare da eventi anomali, dal furto di dati all'errore umano.

Dai concetti di privacy by design e privacy by default si capisce come sia effettivamente cruciale la fase di assessment che viene sempre indicata come primo passo in un percorso di avvicinamento alla compliance. Solo se si conoscono davvero tutti i processi di gestione delle informazioni - e se questi sono testati e documentati, inoltre - l'azienda può essere ragionevolmente certa di aver messo in atto misure tali da mitigare il rischio di perdita dei dati sensibili e, cosa affatto secondaria, di ipotetico risarcimento del danno.

E anche qui tutto non è chiarissimo, dato che la norma indica sanzioni "fino a" un certo limite e quindi prevede una certa discrezionalità nella loro valutazione. Ma su che basi?



In linea di principio - e semplificando molto - le sanzioni più basse saranno probabilmente legate alle violazioni per così dire "strutturali", derivanti cioè dal fatto che un'azienda non ha adempiuto alle norme implementando male i processi ottimali di gestione dei dati, ma senza provocare danni agli interessati (cioè gli utenti o i clienti di cui si gestiscono i dati). Le sanzioni maggiori entreranno in gioco quando questi danni invece saranno evidenti, cosa che con tutta probabilità accadrà alle imprese che avranno ignorato il GDPR non solo nella forma ma anche - e soprattutto - nella sostanza.

Nel comminare le sanzioni le autorità faranno quindi valutazioni discrezionali in cui conteranno molto lo stato (di sicurezza) e la "buona volontà" dell'azienda nel seguire le indicazioni del GDPR. E qui torna in gioco il concetto della privacy by design e by default: se un'azienda non ha delineato, messo in atto e testato le procedure e i processi opportuni le diventa davvero difficile documentare di aver cercato di rispettare le norme e i suoi obblighi. E rischia così il massimo della sanzioni.