Tempo di lettura stimato: 4'
20 anni fa, nel gennaio del 2004, in Italia, entrava in vigore il Codice in materia di protezione dei dati personali (decreto legislativo 196/2003). Se guardiamo indietro, vediamo che di cose ne sono successe tante. Dal Codice siamo passati al GDPR, da una legge siamo passati a un regolamento valido in tutti gli Stati dell’Unione Europea. E le aziende? Nel tempo il loro atteggiamento è rimasto lo stesso o è cambiato qualcosa?
Secondo me, qualcosa è cambiato. Non tanto nella norma - il nostro Codice non era poi così malvagio, tant'è che lo abbiamo ritrovato in parte nel GDPR – ma piuttosto nell’atteggiamento delle aziende.
Quindi, se tiro le somme, vedo che, dal punto di vista normativo, c’è stato sicuramente un cambiamento, ma non tanto grande quanto quello che ho visto nelle aziende.
Dalla privacy come l’ennesimo balzello, alla consapevolezza che i dati sono un valore aggiunto
Mi pare che negli anni sia cambiato - e stia cambiando tuttora - l'approccio delle aziende alla privacy. Fin da subito, in parte ancora oggi, la gestione e il trattamento dei dati personali sono stati percepiti come una fatica, una tassa da pagare, una cogenza che, se non ci fosse stata, sarebbe stato meglio.
All'inizio, con l’entrata in vigore della 196, si percepiva in modo molto forte e la stessa cosa è avvenuta col GDPR.
Mi accorgo, però, che oggi questo approccio è diverso: si è capito che avere sotto controllo il dato personale, in realtà, dà un boost all'azienda.
È vero, non vale per tutte le aziende, ma in diverse organizzazioni si è passati dall’idea del "devo adeguarmi per non prendere una multa", “lo faccio perché c'è la sanzione, ma se questo balzello non ci fosse, non lo farei”, a un approccio più virtuoso.
Confrontandomi con diverse imprese, ho notato che in alcuni ambiti - nel marketing, per esempio – sapere che l’azienda tratta i dati personali in maniera corretta è un valore aggiunto. Perché è un valore che sta cominciando ad arrivare al consumatore e quindi alle aziende stesse, in risposta alle esigenze del mercato.
Questo è quello che sta cambiando, secondo me, rispetto al passato.
Purtroppo, c’è qualcosa che resta uguale: la serie di professionisti che girano intorno al mondo del GDPR, il cui approccio, spesso, è legato solo al timbrino…
Consulenti privacy e GDPR: l’approccio della privacy al chilo
Spesso, non sempre, ma spesso, mi capita di trovare consulenti privacy e GDPR che approcciano la conformità come se di mestiere appiccicassero i timbri postali:
“Qua ci sono i documenti, toh!”
“Qua c'è il foglio di Excel, tieni!”
“Qua c'è il foglio di Excel, tieni!”
E quando il cliente chiede: “Grazie ma… cosa devo fare?”
I consulenti da timbro postale rispondono: "Ho già fatto tutto io!"
I consulenti da timbro postale rispondono: "Ho già fatto tutto io!"
Una frase che a me suona un po’ da commercialista. Non per parlar male dei commercialisti, perché vale anche per gli avvocati, vale per tanti professionisti. Non tutti. Diciamo molti. E comunque di quelli che non hanno percezione che il trattamento dei dati personali non è una piccola parte del loro lavoro, ma si estende su tutta la filiera dell'azienda.
E che non hanno capito ancora che la privacy non vuol dire “compilare fogli”.
“Hai fatto la privacy?”
“Sì!”
“Quanto è alta?”
“3 cm!”
“La mia 7 cm”
È l’approccio della privacy al chilo. Ed è un approccio non tanto delle aziende, ma di chi fa consulenza alle aziende.
Non si può guardare al trattamento dei dati personali come se negli anni, dalla 196 e dal GDPR, non fosse cambiato nulla.
Il trattamento dei dati personali non è un cactus
Sono passati anni dall’entrata in vigore del GDPR e io mi sento ancora uno studente. Col tempo ho capito che una serie di intuizioni iniziali della norma si sono rivelate giuste e una serie di approcci invece sono cambiati. Sono uscite nuove interpretazioni, l'EDPB (European Data Protection Board), cioè gli stessi Garanti europei, negli anni hanno dato spiegazioni sul perché di certe interpretazioni. L’approccio al trattamento dati non è cambiato, ma si è arricchito di considerazioni e percorsi in maniera importante: la cookie law, il marketing, adesso l’intelligenza artificiale.
Quindi chi è rimasto al 2018, al 2019, al 2020, è rimasto fermo.
Il GDPR è qualcosa di vivo.
Non puoi interrare una pianta e dire non le do più acqua, tanto fra 5 anni cresce.
I cactus funzionano così (forse). Ma un po' d'acqua devi dargliela, un po' di terra devi cambiarla.
Il trattamento dati non è un cactus. È un bonsai abbastanza delicato.
E va approcciato di conseguenza.
Bene. Come?
Per esempio con un Privacy Management System.
Cos’è?
Per saperlo hai due possibilità:
1) Aspettare il prossimo articolo del blog, in cui ti parlo proprio di questo
oppure
2) Iscriverti a Raise Academy e seguire la live “Perché hai disperatamente bisogno di un Privacy Management System (e perché i tuoi consulenti non te ne hanno ancora proposto uno)”, che ho tenuto insieme a Maurizio Bulgarini, cofondatore e managing partner di Smart Flow, società torinese di consulenza direzionale, dove gestisce la business unit dedicata alla Data Protection.
Perché questo è solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
