Nella mia ormai lunga esperienza di consulente strategico in materia di privacy e protezione dati, sono purtroppo molte le aziende che ho visto sbandierare virtù che in realtà non hanno.
Fin dal primo incontro presso la sede della società, o a volte perfino alla prima occhiata al sito web aziendale, spesso sono evidenti delle desolanti carenze che rivelano quanto sia realmente scarsa la sensibilità ai temi di cui mi chiedono di occuparmi.
Capita di sovente che, già arrivando al parcheggio aziendale, si osservino telecamere di videosorveglianza che sono sì segnalate da cartelli di informativa minima, ma lo spazio in cui dovrebbe essere indicata la denominazione del titolare del trattamento è lasciato vuoto, oppure l’infografica usata è quella che dovrebbe essere utilizzata per segnalare un video collegamento con le forze di polizia che però non c’è affatto.
Senza necessità di ricorrere a chissà quali prove del fuoco, quando alla reception chiedo del “responsabile della protezione dei dati” vedo spesso facce smarrite, e se ci riprovo dicendo che ho appuntamento con il “data protection officer” metto pure a dura prova l’inglese del personale addetto. Se per uscire dall’imbarazzo non rimane altro che specificare il nome della persona che mi attende, la risposta che ricevo e che vorrebbe rassicurarmi è che si tratta “del collega che si occupa della privacy”.
Per deformazione professionale, mentre cammino lungo i corridoi per recarmi dal mio interlocutore osservo gli uffici e vedo faldoni appoggiati un po’ dappertutto, postazioni vuote per la pausa caffè ma con computer accesi e sguarniti di qualsiasi salvaschermo o password di protezione, e allora mi viene il sospetto che la prima impressione che ho avuto al mio arrivo troverà solo conferme durante il mio appuntamento.
Quado poi arrivo finalmente nella sala riunioni, ho il piacere di conoscere la persona che è stata designata come Dpo, che a sua volta mi presenta i suoi colleghi della direzione risorse umane e l’IT manager. Anche se al contatto iniziale avevo sentito più volte accostare la parola “business” alla conformità al Gdpr, di rado poi la direzione marketing è interessata a partecipare all’incontro.
Generalmente il primo quarto d’ora lo trascorro ascoltando in modo non troppo convincente come i valori aziendali includano il rispetto della privacy, e mi vengono illustrate tutte le numerose attività che sarebbero state portate avanti fino a quel momento. E se prendessi per buono tutto ciò che mi viene raccontato, l’unica domanda che mi verrebbe spontaneo fare ai miei interlocutori sarebbe quella di chiedere perché pensano di avere bisogno della mia consulenza. Se non fosse per il fatto che quello che mi viene messo davanti sono solo veri e propri “castelli di carta”, ovvero faldoni di documenti e report che si discostano totalmente dalla realtà, perché quello che vi è scritto non è mai stato applicato, in totale spregio al principio di “accountability” del Regolamento UE 2016/679.
E sono pure sicuro che se al mio posto ci fossero un funzionario del Garante per la protezione dei dati personali o un ufficiale del Nucleo Privacy della Guardia di Finanza, in certe situazioni avrebbero la mia medesima impressione.
Trovo conferme di questo mio pensiero leggendo l’ordinanza ingiunzione del Garante del 9 luglio 2020 contro la Merlini srl, in cui viene verbalizzato quanto dichiarato dal referente per la privacy del call center ispezionato, il quale, descrivendo una giornata tipo di lavoro afferma che “le liste di soggetti da contattare sono presenti nel mio PC delle quali non so definirne l’origine”, dando poi spiegazioni raccapriccianti, affermando: “tutto questo materiale proviene da agenzie di Wind di cui io non conosco la denominazione e la ragione sociale e sono destinate, presumibilmente, agli agenti […] che però io non conosco personalmente”.
E nella stessa ordinanza, in cui viene comminata una sanzione da 200mila euro, percepisco le amarezze espresse dall’Autorità che sono contenute tra le righe del verbale, quando tali dichiarazioni rilasciate dal referente del call center vengono definite “paradossali, inattendibili e rese in spregio ai doveri di collaborazione nei confronti dell’Autorità”, e “in totale spregio delle norme in materia di protezione dati”.
Purtroppo molti manager d’azienda a cui niente importa del rispetto della privacy (e spesso neppure degli altri diritti fondamentali dell’individuo), pensano di farla franca decantando slogan o incaricando qualche consulente di produrre un po’ di carta, così da cercare di nascondere gli scheletri nell’armadio, ma non si rendono conto che “niente è più visibile di ciò che è nascosto.”
Nicola Bernardi, presidente di Federprivacy – @Nicola_Bernardi