Quel pasticciaccio brutto del GDPR

Dal 25 maggio è in vigore il Regolamento sulla protezione dei dati personali. Ma non il decreto che adatta la legge italiana alle norme europee. Imprese sull’orlo di una crisi di nervi, e industria ICT in cerca di certezze
di Andrea Monti – PC Professionale n. 328

Come oramai sanno anche le pietre della strada, dopo due anni dalla sua emanazione dal 25 maggio è entrato definitivamente “in funzione” il Regolamento generale sulla protezione dei dati personali (GDPR). La caratteristica del GDPR è che, a differenza delle direttive comunitarie, non ha bisogno di essere “recepito” da uno Stato membro ma è immediatamente escutivo.

Ma la rivoluzione culturale, giuridica e, per quanto ci interessa su queste pagine, tecnologiche innescata dal GDPR è destinata, almeno in Italia, ad essere fortemente rallentata.

Ad oggi, infatti manca ancora un componente fondamentale del “sistema operativo GDPR” il decreto che armonizza la legge italiana con le prescrizioni europee. In pratica, è come se avessimo un kernel (il GDPR) che per funzionare completamente ha bisogno di alcune library (il decreto di armonizzazione e l’adattamento dei provvedimenti emessi dal Garante dei dati personali) senza le quale il sistema operativo funziona ma “va” a tre cilindri.

Il Parlamento italiano e il Garante dei dati personali hanno avuto ben due anni per scrivere queste library ma si sono ridotti letteralmente all’ultimo momento.
Il termine ultimo per approvare il decreto di armonizzazione era stato fissato al 21 maggio 2018 (lasciando così tutte le aziende con soltanto quattro giorni di tempo per capire come non essere fuorilegge rispetto al GDPR). Ma anche per un clamoroso errore del Governo che ha sconfessato la prima versione del provvedimento – pur redatta da autorevoli accademici – per poi presentarne un’altra a tempo oramai scaduto, il termine non è stato rispettato.

Il risultato è che ora ci troviamo in una situazione di totale incertezza perchè invece di avere una norma che dice quali parti della codice italiano sui dati personali si applicano e quali no, la scelta (e la responsabilità) ricadono sulle spalle dei singoli soggetti.

Ma cosa c’entra tutto questo con gli argomenti di cui tratta questa rubrica?

Presto detto.

Prima ancora che giuridica, il GDPR ha innescato una rivoluzione tecnologica che costringe le grandi software house, le piattaforme online e il mondo del marketing digitale a ripartire, almeno sulla carta, da zero.

Il GDPR, infatti, stabilisce tre principi che impattano direttamente lo sviluppo del software, la progettazione dei database e la gestione delle infrastrutture di comunicazione (internet, ma non solo).

Il primo principio è quello chiamato “data protection by design”. Vuol dire che qualsiasi oggetto che tratti dati personali deve essere progettato per trattare correttamente i dati personali che gli vengono “dati in pasto”. Così, ad esempio, sulla base di questo principio non è accettabile che un database sia progettato utilizzando un unica tabella che contiene tutti i dati, per poi limitare l’accesso degli utenti solo tramite le query a loro disposizione (l’esempio è semplicistico, ma rende l’idea).

Il secondo principio si chiama “data protetcion by default” e si riferisce all’obbligo per il quale tutte le volte che c’è una funzionalità che, se attivata, migliora la tutela dei dati personali, questa funzionalità deve essere operativa senza che l’utente la selezioni. Esempi sono il “do-not-track” o il “private browsing”, ma anche il salvataggio automatico o il controllo sulla correttezza sintattica di codice che deve intervenire sui dati.

Il terzo principio riguarda le misure di sicurezza necessarie ad evitare fughe o danneggiamenti di dati personali che, nel GDPR, devono essere “autovalutate” da chi maneggia i dati in funzione del rischio al quale sono esposte le persone cui si riferiscono i dati in caso di eventi negativi. A seconda, dunque, della “delicatezza” dei dati trattati, un’azienda dovrà decidere a quale livello e come proteggerli.

Ora, anche senza entrare in ulteriori dettagli, è chiaro che l’impatto di questi tre principi sul settore ICT è molto consistente. Benchè i colossi dell’industria di settore abbiano annunciato, pur con varie sfumature, di essere conformi al GDPR, la verità è che, nel complesso, specie le componenti applicative (e dunque CRM, ERP, sistemi di gestione contabile e via discorrendo, magari sviluppate ad hoc in ambiti specifici) non possono essere “upgradate” con uno schiocco di dita.

Gli investimenti in tecnologia, infatti, hanno un ciclo di vita – anche finanziario – che non può essere interrotto a metà strada. I costi diretti e complessivi sarebbero, in molti casi, talmente elevati da non consentire una scelta del genere, con la conseguenza che un’azienda potrebbe trovarsi a dover assumer il rischio di non essere del tutto conforme alla normativa fino a quando non darà corso a un nuovo ciclo tecnologico.

E’ chiaro, dunque, che per poter assumere decisioni così importanti per la vita di un’azienda e delle persone i cui dati vengono gestiti sarebbe necessario avere un quadro normativo chiaro e definito, in modo che i fornitori di tecnologia possano offire le necessarie garanzie di conformità dei loro apparati/software/servizi e nello stesso tempo gli utenti siano in grado di utilizzarli senza dover rischiare di subire sanzioni o blocchi dell’attività (la violazione di questi principi, infatti, potrebbe comportare il divieto di usare strumenti non conformi alla legge).

Ma questo quadro normativo, al momento, è ancora in bozza e – per complesse ragioni giuridiche – anche quando venisse completato presenterebbe non pochi problemi di attuazione (senza entrare nelle tecnicalità legali, la proroga di tre mesi per approvare il decreto di armonizzazione è probabilmente illegittima).

In questo scenario così confuso, è evidente che anche il mondo dell’ICT vive uno stato di incertezza: quali scelte di sviluppo ha senso adottare? Ha senso offrire servizi cloud al di fuori della UE? E dove? Fino a che punto di “intrusione” posso arrivare se devo eseguire dei vulnerability assessment o dei penetration test? Si possono ancora usare (e in che modo) gli intrusion prevention/detection di ultima generazione?

Tutte domande alle quali, putroppo, risponderanno le sentenze emanate dai tribunali che si troveranno a decidere sulle contestazioni delle sanzioni applicate dal Garante dei dati personali. Sempre che chi subisce queste ultime decida di impugnarle, invece di pagare.

Morale, nel giro di una decina d’anni (o forse più) avremo qualche certezza giuridica.

Nell’immediato, invece, abbiamo una garanzia: che la normativa su trattamento dei dati personali (o meglio, chi deve istituzionalmente applicarla) non ha la minima nozione di quanto valgono tempo e velocità nel mondo – e nell’industria – dei computer.

Possibly Related Posts: