GDPR: la tentazione di… far finta di nulla

Quante aziende e organizzazioni si stanno chiedendo, o si chiederanno, se l’opzione migliore non sia… fregarsene del GDPR? Diciamo la verità: molte, soprattutto fra le realtà più piccole. E’ la reazione comprensibile a una relazione malata fra Stato e cittadini. Lo Stato interviene in maniera cieca e indiscriminata e il cittadino reagisce eludendo o evadendo la norma.

Questa volta però le cose sono diverse. Il GDPR non impone quasi nulla, vuole semplicemente che l’organizzazione sia conscia del problema privacy dei dati personali, che lo discuta al suo interno e con i suoi fornitori, in maniera ampia e dettagliata e chiede la produzione a vari livelli (moduli, registro dei dati privacy policy, Dpia) una documentazione scritta.E’ il concetto ‘lunare’ per noi italiani della accountability. Un invito di questo tipo è difficile da eludere.

C’è una seconda ragione che suggerisce ad aziende e organizzazioni di prendere sul serio il GDPR. Chi ci dice che, poniamo fra un anno, l’osservanza del GDPR non sarà inserita fra i requisiti per fornire ad esempio le Pubbliche amministrazioni? (sulla falsariga del Durc). Pensiamo a un ospedale che vuole stringere una convenzione con una associazione o con una azienda per l’erogazione di un servizio, a un albergo che si candida per ospitare alunni in gita scolastica… Faccio degli esempi semplicissimi: l’ente pubblico avrebbe buon diritto ad assicurarsi che il fornitore sia in grado di gestire al meglio i dati personali che dovranno essere condivisi. Oppure – se vogliamo pensar male – pensiamo a quelle clausole ‘strane’ delle gare di appalto: requisiti che sembrano inseriti apposta per ‘scremare’ i candidati. A quel punto per chi non avrà preso sul serio il GDPR… sarà troppo tardi per mettersi in regola.
Fonte: Alberto Pattono