Il Data Protection Officer e il dilemma della ‘compliance privacy’ nel nuovo ecosistema digitale

Uno degli errori più comuni, nel quale si rischia di cadere – spesso in perfetta buona fede – è quello di affrontare la protezione dei dati personali partendo dal rispetto di una sola normativa (della quale in genere si sente di essere abbastanza padroni) e considerare tutte le altre quasi come una sorta di “rumore di fondo”, semplici realtà ancillari rispetto alle norme che meglio padroneggiamo (o che pensiamo di padroneggiare meglio).

(Nella foto: Mario Mosca, Coordinatore Gruppo di Lavoro Federprivacy per la Privacy nel settore Bancario e Finanziario)

In realtà, pur essendo consapevoli del rango delle varie fonti (difficile non considerare quale norma preminente il GDPR) bisogna sempre sforzarsi di avere verso le fonti un approccio onnicomprensivo e rendersi conto che il mutato contesto tecnologico mira ora a rendere centrali aspetti che, solo qualche anno fa, saremmo stati tentati di considerare meramente tecnici, relegandoli nella ristretta cerchia degli addetti ai lavori.

La compliance al framework normativo della protezione dei dati, in altri termini, non è e non deve essere improntata ad una “monade normativa”, alla quale tendiamo ad uniformare “tutto il resto” ; al contrario, se si dovesse ricercare l’aggettivo più calzante, probabilmente si dovrebbe dire che siamo chiamati a realizzare una sorta di compliance sinfonica, rivolta ad evitare il più possibile le contraddizioni (più o meno reali) nelle quali ci si imbatte ed a declinare le stesse in un contesto il più possibile globale.

I casi concreti non mancano: negli ultimi anni molte norme si sono affastellate e gli adempimenti, anche operativi, si sono moltiplicati e spesso sovrapposti, rendendo il difficile l’approccio sopra descritto non solo auspicabile, ma doveroso.

Si prenda, a titolo meramente esemplificativo, l’AI Act e l’enorme sforzo (reso ancor più grandioso da una situazione geopolitica non certo favorevole al Vecchio Continente) sotteso alla volontà di realizzare a livello europeo un quadro giuridico omogeneo sull’intelligenza artificiale.

È vero, la norma entrerà completamente in vigore solo a partire dal 2026 e si potrà parlare di sanzioni (per i primi due capi) solo dal prossimo agosto, sicuramente mancano ancora molti provvedimenti per completare il complesso puzzle normativo previsto dal Regolamento, ma come non tener sin subito conto del concetto di Intelligenza Artificiale antropocentrica e del divieto di utilizzo di quei sistemi di IA da considerare a rischio inaccettabile?

E il discorso non si esaurisce certo alla sola Intelligenza Artificiale.

Sempre senza alcuna pretesa di esaustività, si pensi a quanto accade in relazione alla direttiva NIS2 circa la necessità di continuo dialogo e segnalazione cui sono chiamati i soggetti essenziali ed importanti e – per coloro che hanno l’avventura di dedicarsi alle istituzioni finanziarie – al regolamento DORA che rispetto al contesto normativo or ora descritto si configura quale una sorta di “lex specialis”, caratterizzata da requisiti ancora più stringenti.

Sfide da far tremare le vene ai polsi, che possono però essere affrontate con una declinazione attuale di strumenti ormai collaudati, tra i quali val forse la pena di ricordare:

– la mappatura dei processi aziendali in chiave di identificazione di eventuali “strozzature” che potrebbero comportare l’interruzione dei normali flussi operativi;
– lo sviluppo e l’esecuzione, ancor più rigorosi, di piani di continuità operativa;
– un rinnovato approccio olistico al rischio informatico ed alla resilienza, non più limitato ai soli dati personali ed aperto alle dinamiche aziendali (oltre che a quelle relative agli interessati;)
– un costante dialogo interno (tra le differenti funzioni aziendali) ed esterno (tra aziende coinvolte nei settori critici/ad alta criticità);
– l’esecuzione di due diligenze ancora più approfondite sui fornitori;
– lo svolgimento di audit periodici, realmente idonei a valutare la conformità alle normative e l’efficacia delle misure di sicurezza implementate;
– uno sforzo di continua formazione delle risorse, volto a quella “alfabetizzazione digitale” cui – con particolare riguardo all’AI – fa riferimento lo stesso art.4 del relativo Regolamento.

In questo contesto il Data Protection Officer, pena la perdita, se non formale, sicuramente fattuale di centralità, deve esprimere uno sforzo, per così dire, rifondativo: non si tratta qui di perdere di autorità, ma di mantenere ed accrescere la necessaria autorevolezza richiesta dal ruolo.

Un’autorevolezza che deve essere realizzata ogni giorno attraverso un dialogo costruttivo con tutte le funzioni del Titolare o del Responsabile del trattamento, senza recinzioni di carattere tecnico/specialistico e nel rispetto di ciascuna sensibilità e competenza, una relazione che non può più prescindere dalla effettiva e metabolizzata conoscenza dei profili attinenti alla cybersicurezza.

Una “chiamata alle armi” sentita già tante volte in passato, ma ora quel giorno è arrivato; come nella favola esopiana vien spontaneo dire: “Hic Rhodus, hic salta”.