Scrivo di getto qualche osservazione sul Reg. 2016/679/EU, osservando che troppo se ne scrive e poco se ne pratica.

In questo periodo leggo un profluvio di banalità, su una materia fin troppo abusata, anche in passato, da figuri senza scrupoli.

Sono stanca, e siamo solo a dicembre, non oso pensare da qui a maggio cosa salterà fuori.

Prima hanno esordito tutti con il focus snervante sul DPO, poi con quello delirante sulle sanzioni, poi con quello sulla DPIA (perchè si sa, gli acronimi esterofili catturano quasi sempre l’immaginario collettivo degli allocchi).

Ora siamo alla Privacy by design e privacy by default. Chi ne parla vi dirà che beh, boh, si, forse sono concetti che significano che occorre pensare alla privacy fin dalla fase di progettazione, che sì, bisogna considerare la privacy al centro dei processi, che bisogna comprare l’ultimo software in materia di sicurezza.

Non è così. Significa semplicemente che occorre utilizzare solo i dati strettamente indispensabili, per le finalità strettamente indispensabili, minimizzandone il trattamento fin dall’inizio.

La verità, come diceva il vecchio cow boy in “Scappo dalla città: la vita, l’amore e le vacche” indimenticabile pellicola di Billy Crystal, è solo una.

E la devi trovare da solo.

Non c’è legge nazionale, regolamento europeo, provvedimento dell’Autorità di controllo, sentenza di giudice che ti potrà mai convincere ad usare il cervello e operare con buon senso.

Perché di questo si tratta, usare il buon senso.

La privacy sta tutta qui, e, per di più, sta qui da più di 20 anni. Dal 1996, per l’esattezza.

Esiste un principio che potremmo definire quasi “evangelico” alla base della privacy e che si può condensare in queste poche parole: “non fare agli altri ciò che non vorresti fosse fatto a te”.

In altre parole se ci corre un brivido lungo la schiena al pensiero che qualcuno possa trattare i nostri dati nello stesso modo in cui stiamo per trattare noi quelli altrui, significa che c’è qualche articolo, decreto, regolamento, legge o comma, che magari non conosciamo, che stiamo violando.

Ogni volta che inviamo una e-mail pubblicitaria senza che ci sia stato richiesto, stiamo abusando della pazienza altrui.

Ogni volta che costruiamo una banca dati di profilazione, stiamo entrando nelle scelte di vita altrui, per saperne di più ed usare queste informazioni a nostro vantaggio e a discapito di altri.

Ciò significa soltanto che ciascuno di noi, come se gli fossero stati affidati dei gioielli da un altro, deve prendersene cura e ne sarà responsabile. Ed ecco che salta fuori un altro concetto, quello dell’accountability, vale a dire della responsabilizzazione del titolare. Un termine oscuro per esprimere un concetto assai banale.

Se Tizio mi ha affidato qualcosa di suo, adotterò tutte le misure più adeguate per impedire che io possa perderlo o che altri me lo rubino (toh, un altro sintagma straniero: il Data Breach).

Altri si fregiano di aver trovato la “quadra” perfetta per qualunque realtà con un semplice programma buono per tutte le stagioni (che agli occhi degli allocchi, mi si perdonerà l’allitterazione, di cui sopra pare la panacea di ogni male derivante da questo regolamento che l’Europa “brutta e cattiva” ci ha imposto, per toglierci il sonno con tutti questi adempimenti che non ci permettono di lavorare e queste sanzioni che anche solo a pensarci fanno venire il mal di pancia).

Peccato che i concetti di cui sopra non possano venire algoritmizzati.

Nessun programma potrà mai portare alla conformità (Compliance), come nessun programma potrà mai diagnosticare una malattia sulla base dei soli sintomi immessi in chissà quale web-app.

Come per il paziente, così anche il Titolare si merita una visita approfondita.

E lì starà nella scelta del medico la soluzione più efficace.

Lo stesso identico principio vale per la privacy.