Tra il concludersi dell’estate e l’aprirsi dell’autunno, due atti unici si sono succeduti sul palcoscenico della protezione dei dati: il 19 settembre è entrato in vigore il decreto legislativo di armonizzazione della normativa nazionale al Regolamento EU 679/2016; poco meno di un mese dopo il Garante per la protezione dei dati personali (che poi è sempre lui, il Garante Privacy, che ancora vive la sua doppia identità, tra passato e presente) ha pubblicato le istruzioni riguardanti il registro dei trattamenti.
Il Codice Privacy ammodernato
Premessa: il D.lgs. n. 101/2018, di per sé illeggibile, se volete seguirne le vicende normative, appassionarvi per le sue coraggiose avventure e allietarvi con la sua prosa colta e leggiadra, vi consiglio di scaricare il testo coordinato dal sito del Garante (conquistabile agilmente in internet tramite digitazione di “codice coordinato garante”).
La parte generale del Codice Privacy viene ampiamente abrogata per lasciar spazio alle disposizioni del Regolamento, in questo modo le norme su: principi, basi giuridiche del trattamento, informativa e consenso, vengono sostituite da quelle contenute nel GDPR.
Nella parte speciale invece si trova la regolamentazione di alcune questioni di un certo rilievo:
- Per i controlli a distanza viene recepita pedissequamente la legge n. 300 del 1970 (sia per l’art. 4, sia per l’art. 38), come modificata nel 2015 dal D. lgs. n. 151. Niente di nuovo, quindi, ma un’ennesima conferma che, per affrontare questo tema, è necessario:
- analizzare quali e quanti dati vengono raccolti, non fermandosi alla videosorveglianza (o, ancor peggio, sulla disquisizione dell’esatto angolo di visuale del videocitofono) ma pensando a localizzazione, log informatici, dispositivi mobili;
- fissare esattamente la finalità per la quale questi dati vengono raccolti;
- informare gli interessati dei due punti qui sopra esposti.
- Nella gestione dei curricula vitae, il D.lgs. n. 101/2018 stabilisce che l’informativa ex 13 del GDPR, può essere fornita al momento del primo contatto utile, successivo all’invio del curriculum; fermo restando il rispetto delle finalità stabilite dall’articolo 6, paragrafo 1) lettera b) del Regolamento UE, il consenso al trattamento dei dati personali non è richiesto. Quindi i CV si possono ricevere, tenere per un tempo determinato e utilizzare per selezionare il personale, senza dover inviare nulla, né chiedere niente ai candidati (in questo paese manca solo che ci si metta a cestinare i lavoratori ancora prima di assumerli, per incrementare le quote divano).
- Per continuità mantengono il loro valore i provvedimenti e le autorizzazioni del Garante fino al completamento del loro riesame e adattamento (da compiersi entro novanta giorni dalla data di entrata in vigore del decreto).
- Il Garante è chiamato a promuovere l’emanazione di regole deontologiche per taluni settori (lavoro, giornalismo, statistica e ricerca scientifica) tramite coinvolgimento dei soggetti interessati e pubbliche consultazioni. Grandi speranze dickensiane vengono riposte in ordini e collegi professionali.
- Il nuovo articolo 154 bis, co. 4 del Codice Privacy prevede: “In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, […] il Garante per la protezione dei dati personali, […], promuove, […], modalità semplificate di adempimento degli obblighi del titolare del trattamento”. Anche in questo caso ampie aspettative, sperando che non si tramutino in miraggi sahariani, un avviso di mobilitazione c’è, ne scrivo più avanti.
- Si prevedono sanzioni penali per alcune violazioni della normativa, che vanno ad aggiungersi alle note sanzioni amministrative previste dal Regolamento (fino a 20 milioni di euro o al 4% del fatturato mondiale annuale lordo) che hanno atterrito uomini e donne di buona volontà.
Vengono penalmente sanzionati: il trattamento illecito di dati personali; l’acquisizione fraudolenta, la comunicazione e la diffusione illecita di dati personali oggetto di trattamento su larga scala; le false dichiarazioni rese al Garante; l’inosservanza dei provvedimenti del Garante; la violazione del comma 1 dell’art. 4 dello Statuto dei Lavoratori.
- I diritti riferiti ai dati personali delle persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario o per ragioni familiari meritevoli di protezione. Qui forse ci vorrà un po’ di giurisprudenza per capirne contorni e pietanze.
- Ai sensi dell’art. 22, co. 13, “Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie”. Questo l’ho riportato testualmente perché non ci possa essere fraintendimento: non si tratta di proroga ma di un invito alla bontà d’animo del controllore che, certamente seguirà la richiesta di amabili sentimenti ma non significa che si può aspettare maggio 2019 per adeguarsi, si cadrebbe nella diabolica perseveranza.
La semplificazione sospirata
L’otto ottobre, il Garante per la protezione dei dati personali ha pubblicato (basta cercare in internet “faq registro garante” e vi si sbarca agevolmente) alcune istruzioni sul Registro delle attività di trattamento ma, soprattutto, due modelli, semplificati e scaricabili, uno per il Titolare e l’altro per il Responsabile del trattamento, sia in pdf sia in Excel, rivolti alle piccole e medie imprese.
I documenti sono utili per semplificare il percorso di adempimento, perché riducono all’essenziale la fase di analisi e di compilazione, permettendo di creare due strumenti (i consulenti del lavoro dovrebbero tenerli entrambi: da Titolare, per i trattamenti da datore di lavoro, e da Responsabile, per i dati dei clienti) che diventano solida base per la redazione della documentazione e l’analisi dei rischi.
Chiudo insistendo: un sistema informatico contemporaneo – l’antico si sposa bene con gli arredi e il rosa, per nulla con la tecnologia – e una seria formazione delle persone – l’ignoranza invece fa pendant col fallimento – possono evitarci di restare mezza giornata in osservazione di un tecnico, che ci ripristina il sistema marmorizzato da un attacco informatico, mentre, per far passare il tempo, costruiamo aeroplanini di carta con i documenti privacy.