Il 22 maggio l’OCSE ha sottoscritto un documento firmato dai 35 ministri dei Paesi componenti e da 5 Paesi non membri (Argentina, Brasile, Costa Rica, Indonesia e Perù), accompagnato da una campagna dall’eloquente titolo “Declare to innovate”.
L’intento è infatti dichiarare l’innovazione, tecnologica e non solo, come attività strategica per tutto il comparto pubblico e per i suoi dipendenti. Non esiste al momento una traduzione ufficiale in italiano, ma Forum social PA ne ha pubblicato un fedele riassunto, che potete leggere qui.
Gli obiettivi sono ambiziosi; si vuole infatti favorire l’innovazione a 360° comprendendo in quest’opera anche la formazione dei dipendenti, si vuole incoraggiare la sperimentazione, messa in comune di buone pratiche e sviluppo di nuove partnership. Un approccio sicuramente interessante, ma che inevitabilmente porta anche a riflettere.
Il GDPR ha sicuramente costituito per molti organismi un’occasione per rinnovare i propri asset, riflettendo sulla necessità di garantire maggiori tutele ai propri utenti. Per questo non sorprende che, finito il periodo di tolleranza, sia stata proprio la pubblica amministrazione a finire per prima tra i soggetti a cui il Garante della privacy ha dedicato maggiore attenzione.
Le normative certamente possono svolgere un ruolo sociale, di diffusione di nuove pratiche virtuose, e generalmente la pubblica amministrazione italiana risponde bene a questo tipo di sollecitazioni. Risulta però difficile parlare di innovazione, nel momento in cui però spesso le piccole realtà vengono lasciate indietro: una critica avanzata da molti nel privato, ma che coinvolge anche la PA.
Infatti è l’Osservatorio di Federprivacy ad aver lanciato l’allarme, dopo aver diffuso una ricerca effettuata su un campione di 3mila siti di comuni italiani, tra ottobre 2018 e marzo 2019. Poca la formazione, varie le carenze riscontrate, come ad esempio la mancanza del protocollo HTTPS, informative mancanti, mancanza di banner per i cookie.
Questa situazione può dare molti spunti anche ai soggetti privati, per cui – è bene ricordarlo – non è prevista alcuna differenziazione in termini normativi (per un approfondimento sulla questione, qui l’articolo dell’avv. Iaselli su Federprivacy, già intervistato su GDPR e regolamenti qui su Regolamento8), con un dettaglio non di poco conto: il danno, nel caso di un’eventuale sanzione, per un privato non è solo economico, ma spesso reputazionale anche, data la sempre maggiore coscienza sull’argomento e la circolazione delle informazioni in merito.
Cosa possiamo dunque imparare dal quadro offerto dai primi soggetti su cui sta prestando attenzione il Garante e da questo primo anno di GDPR?
Innanzitutto la necessità di rivolgersi a professionisti qualificati, chiedendo più di un consulto in caso; una volta stabilite le proprie necessità, bisogna proseguire con un monitoraggio costante dei dati e delle risorse per mantenere alto un livello di sicurezza; necessità di tenere traccia di tutte le operazioni effettuate sui dati, proprio per affrontare serenamente un’eventuale ispezione per la quale bisogna sempre garantire la massima collaborazione.
Innovare, tanto nel settore privato che nel settore pubblico, appare infatti come unica soluzione per fronteggiare i cambiamenti normativi e distinguersi rispetto ai propri competitor.