Il GDPR è un importante documento emanato dall'Unione Europea, che rappresenta un tentativo di regolazione sulle modalità di gestione dei dati, al fine di proteggerne la sicurezza e la riservatezza. E' una legge importante ma così come fu il DPS (Documento Programmatico sulla Sicurezza) emanato dal Garante della privacy, sarà destinato a rimanere in molti casi inconcludente.
Già allora quando fu emanato il DPS, molte aziende si lanciarono in servizi al riguardo, che furono più commerciali che non realmente utili agli utilizzatori finali. Allora, ne vidi di tutti i colori, commercialisti che producevano il DPS per i loro clienti (senza saper tradurre correttamente la normativa e dando direttive sbagliate), attività che nascevano allo scopo di fornire servizi al riguardo (che più che aiutare, sembrava dovessero lucrare sul malcapitato, spaventato dalle multe in caso di inadempimenti), dipendenti pubblici e privati che attuavano le norme in maniera errata, servizi offerti assolutamente inutili e quant'altro.
Fu una vera giungla, dove molte aziende decisero di ignorare il tutto o attuare regole di facciata per dimostrare semplicemente sulla carta che erano in regola.
Alla fine, è accaduto e accadrà così anche per il GDPR, dove ad adeguarsi saranno principalmente le grosse aziende ma rimarra nel suo senso più profondo, incompreso ai più e specialmente alle piccole e medie attività.
Il GDPR nel suo intento è assolutamente valido ma una normativa così prolissa e generica ha prodotto costi e burocratizzazione, senza essere poi realmente utile all'effettiva protezione dei dati, se non ci credete, chiedetelo agli Hacker, bianchi, grigi o neri che siano.
Partendo dal punto, che la sicurezza non è mai al 100%, il risultato si riduce notevolmente con l'aumento di tecnologie e canali utilizzati per il trattamento dei dati. Senza che si produca in concreto una vera e propria integrazione di buone norme e best practice applicabili su tutto il comparto dei sistemi informatici e informativi, si continuerà ad essere fortemente esposti, inseguendo i mulini a vento.
Ogni azienda, ogni attività, per altro va sempre considerata a sè stessa e non potranno risolvere il problema, soluzioni standardizzate, analisi superficiali, investimenti insufficienti, risultati e scelte non verificate sul campo.
Il concetto di sicurezza inapplicato per anni, non si potrà impararlo a breve, sarà un lungo processo dove forse molti si accorgeranno che non potrà mai essere standardizzato, perchè un Hacker è creativo e non si potranno mai contrastare attacchi creativi con regole e leggi.
La tecnologia, software, apparecchiature di sicurezza sempre più complesse atte ad allegerire il lavoro dei tecnici, torneranno molto utili ma non potranno mai tradurre da soli, esperieza, buon senso e giusta forma mentis.
Più che emanare grandi normative, sono utili concetti semplici e facilmente traducibili per tutti e in pratica, diversamente, come purtroppo sta avvenendo, burocratizzeremo eccessivamente e male, il comparto informatico, privandolo in parte di quella potenzialità ed elasticità propria, capace di abbattere tempi e costi, utili per fornire servizi di qualità sempre più alta.
Mi auguro, che i burocrati della carta, non mettano mai piede nei comparti informatici, diversamente sarà una strage.
Andrea Guzzo
