False credenze e luoghi comuni sulla privacy

 Gianni Dell’Aiuto

Parliamo di luoghi comuni ed evitiamo troppi tecnicismi; se da un lato è l’incipit di questo intervento, dall’altro è la sostanza delle risposte che i consulenti privacy ottengono quando cercano di far comprendere ai destinatari del GDPR le conseguenze cui vanno incontro in caso di mancata adozione delle misure minime per la protezione dei dati. Spesso imprenditori anche con esperienza e professionisti, nel momento in cui vengono richiamati all’importanza di una norma che, non dimentichiamolo, prevede ben precisi obblighi a cui dare esecuzione, hanno reazioni del tipo “Io non ho niente che possa essere rubato”; “Ho l’antivirus (senza sapere neppure quale) e cambio la password ogni mese (e magari mettono la loro data di nascita invertendo i numeri) o, la più classica delle risposte errate “Non verranno mai a controllarmi.” Non ultima, quando viene fatto presente quali possono essere le conseguenze, oltre alle sanzioni, la risposta è fin troppo spesso le risposte variano dal “tanto non ho niente e non pago” o la più disarmante “se vengono gli lascio le chiavi chiudo e vado in vacanza.”

Non sono frasi prese a caso o che si sentono raramente, purtroppo sono reali e prova ne è che, sulla abse dei dati disponibili, sono circa il 75% le aziende e i professionisti italiani che non si sono adeguati al GDPR. Tra questi non si includono soltanto coloro che nulla hanno fatto, ma anche tutti coloro che si illudono di avere un’azienda messa a regola solo perché hanno inserito sul loro sito una informativa privacy standard raccolta in rete o nominato un dipendente, spesso una segretaria o uno stagista come responsabile del trattamento. Non ultime alcune Pubbliche Amministrazioni che, ancora, hanno sui loro siti istituzionali indicazioni che richiamano l’articolo 13 abrogato del D. Lgs. 196/2003. E potremmo continuare con decine di esempi simili, ma limitiamoci a citare la risposta più scoraggiante che viene da chi crede che “sono troppo piccolo e la privacy a me non si applica.” Magari previa acquisizione di notizie su Google o tramite informazioni raccolte da un sedicente esperto.

Purtroppo non vi è ancora una consapevolezza non solo diffusa, ma addirittura adeguata dell’importanza della protezione del dato personale. Si tratta invero di un aspetto ancora non appieno entrato nella cultura d’impresa che dovrebbe muovere una sana gestione anche in vita della definitiva entrata in vigore della riforma del diritto fallimentare, ma anche e principalmente di un elemento connaturato ad una sana gestione aziendale.

Tra gli ostacoli maggiori verso la creazione di una cultura della protezione del dato troviamo, oltre alla normale ritrosia  dovuta ai costi ed al fatto che si tratti di un’imposizione della non amata Europa, una più generale forma di disattenzione e distrazione da parte dell’utenza che, sempre per usare luoghi comuni, clicca e sottoscrive tutto quanto gli viene presentato con la convinzione del “tanto siamo tutti controllati e sanno già tutto di noi.”

Non è una strada semplice da percorrere quando si tratta di un percorso che dovrebbe essere compiuto dalle due figure principali del GDPR in maniera congiunta: da un lato l’Interessato che dovrebbe comprendere come la norma tuteli la sua sfera privata da attività fin troppo invasive e, dall’altro, il Titolare del trattamento che ancora non riesce a rendersi conto che i dati di cui viene in possesso sono un vero e proprio tesoro per la sua azienda oltre che un elemento essenziale per lo sviluppo e l’implementazione dei target di mercato.

L’assenza di forme di assistenza alla comprensione e strumenti di formazione da parte anche dello stesso Garante sarebbero quantomeno opportuni se non addirittura, auspicabilmente, un intervento fin dalle scuole dove l’informatica viene insegnata solo sotto un punto di vista tecnico e non certo etico, altrimenti vi sarebbe quantomeno un calo di iscrizioni o accessi ai social.

Forse un piccolo contributo potrebbe venire se, almeno sotto il punto di vista terminologico si iniziasse correttamente a parlare di “protezione dati” e usare meno il termine privacy che, seppur adottato anche dal garante, nel nostro ordinamento indicherebbe il diritto alla riservatezza della sfera privata, ergo il divieto nei confronti di chiunque di spiare nelle abitazioni e nei luoghi di lavoro altrui, sempre per dirlo con termini semplici.

Potrebbe essere un primo piccolo ma significativo passo avanti magari se accompagnato da un insegnamento, quasi fosse un mantra, che un portatile, uno smartphone e un computer sono armi: vanno maneggiate con cura e, chissà, forse un giorno occorrerà uno specifico porto d’armi.