10 giorni di GDPR: e adesso?

Sono appena trascorsi 10 giorni e qualche ora dall’entrata in vigore del GDPR, la fine del mondo non è arrivata, le aziende continuano a saperne poco della nuova legge ma la consapevolezza che questa nuova legge vada ad impattare in modo importante sui processi aziendali sta crescendo sempre più.

A poche ore di distanza dall’entrata in vigore, ho fatto un semplice sondaggio su un gruppo di facebook dedicato alla tecnologia con una età media che oscilla tra i 20 e i 35 anni, quindi persone che dovrebbero essere sufficientemente tecnologiche ed informate (nonché attente ai propri dati virtuali).

Su un campione vicino ai 100 partecipanti, il risultato è stato quello che era (purtroppo) prevedibile aspettarsi e che potete vedere qui sotto:

Che lettura possiamo dare a questo banalissimo sondaggio di pochi minuti?

Personalmente quella più negativa possibile: ancora una volta le aziende hanno interpretato la legge per cercare di coprirsi le spalle inviando quasi come spam informative a nastro (domanda: ma quante informative avete mai ricevuto per mail dal 2003 al 25 maggio 2018 dato che tutte queste aziende sono così attente alla trasparenza e a farvi felici?); c’è stata una corsa al tentare di regolarizzare database illeciti nascondendosi dietro presunti “aggiornamenti” di consenso e sono nate inoltre campagne di phishing di alto livello.

L’intento della nuova legge (come confermato dallo staff del Garante nell’incontro del 24 Maggio a Bologna) è quello di sburocratizzare, di andare nel concreto dei trattamenti dati e dare davvero informazioni su quello che i soggetti a cui diamo i nostri dati, fanno delle nostre informazioni personali. Da nessuna parte è stato scritto che il 25 maggio le aziende dovevano riempire le caselle mail dei propri utenti/clienti con informative che spesso sono anche errate e che di semplice hanno davvero ben poco.

Alcuni importanti suggerimenti in vista dei prossimi giorni e delle prossime settimane:

• Attenzione alle campagne di phishing che dietro le informative aggiornate celano la creazione di database mail non autorizzati;
• Attenzione ai venditori di compliance aziendali da 50€ tutto incluso con in omaggio anche un bici con cambio shimano e batteria di pentole per i primi 10 che chiameranno;
• Attenzione al non fare un sistema trattamento dati di facciata ma di sostanza;
• Attenzione al mettere in campo tutte quelle azioni che regolino i rapporti tra i vari soggetti ma anche tutte quelle attività strutturali che davvero creano un sistema GDPR compliant.

Attenzione soprattutto a quello che il GDPR porterà a partire dal 25 Maggio 2018: questa data, che in troppi chiamavano “scadenza” non è mai stata una scadenza. Perché non scadeva nulla e niente era da buttare via. Casomai era la data di PARTENZA.

Le aziende sono attese nei prossimi mesi a dimostrare, davanti ai controlli ma soprattutto davanti ai propri clienti/utenti, che il sistema di gestione e trattamento dei dati offerto sia davvero in funzione, aggiornato, revisionato, implementato e attivo, tracciando tutto il ciclo dei dati e i soggetti coinvolti.

La vera sfida per le aziende sarà quella di dimostrare che, domani più che il 25 Maggio 2018, le procedure, l’assetto informatico e tutti i processi aziendali siano davvero a regime e tutelino i dati personali di dipendenti, clienti, utenti; diversamente le sanzioni saranno veramente importanti anche e soprattutto oltre il fatidico 25 maggio, quando la legge non ammetterà più la scusa di non essere a conoscenza della necessità di variare i propri processi aziendali.