Scrivo il 24 maggio 2018, su di un treno molto rosso e piuttosto veloce, di ritorno dall’incontro del Garante della Privacy con i DPO (per chi se li fosse persi, sono i Data Protection Officer, in italiano RPD, Responsabili della Protezione dei dati, ne abbiamo parlato nei mesi precedenti), con qualche notizia vaga, alcune conferme confortanti di corretta interpretazione del Regolamento Europeo e molti dubbi sul da farsi nei prossimi mesi (forse anche anni). In questo articolo però si comunicano solo le prime.
Considerando che:
possiamo dare per certo che il Regolamento Europeo va applicato per quello che sono le linee d’obbligo e indirizzo scritte nei suoi 99 articoli e 173 considerando; che non c’è fretta ma neanche ci si può permettere di attendere inanimati; che è importante documentare di aver preso in carico le responsabilità (come Titolari, Responsabili o Incaricati) e che bisogna essere in grado di dimostrare (accountability) che si proteggono i dati in maniera efficace.
Il Garante, in un intervento pubblico del 21 maggio e, in maniera più articolata e particolareggiata nell’incontro di oggi, dice: “Illeciti, non soltanto sanzioni. Le reazioni saranno diverse. In un approccio graduale”. Con questo intende che nei prossimi mesi gli interventi di Garante e Guardia di Finanza saranno mirati solo ai casi denunciati e con un approccio che prediligerà le sanzioni correttive (art. 58 del Regolamento) quali ingiunzioni, avvertimenti, imposizioni, ordini di rettifica e di sospensione.
A questo mi sento di aggiungere qualche dato: le ispezioni sono state 280 nel 2016 e 275 nel 2017, se dovessimo calcolare la percentuale di questi interventi sul numero delle imprese italiane, avremmo un serio problema con i decimali necessari per avere un riscontro leggibile.
Ci metto anche una considerazione: è vero che i controlli e le ispezioni verranno fatte dalla Guardia di Finanza ma, in realtà, è già così dal 2016. Il protocollo d’intesa tra Garante e Fiamme Gialle è attivo da due anni, con l’entrata in vigore del Regolamento Europeo si viene solo a potenziare con un maggior carico dei nuclei speciali, il che fa pensare che l’impegno sarà rivolto a realtà che sono molto a rischio, sia per quantità, sia per qualità del trattamento dei dati personali.
Riprendo a scrivere il 25 maggio, ancora da un convoglio scarlatto, rientrando dopo un evento pubblico dal quale riporto le esatte parole del Colonnello Marco Menegazzo, Comandante del Nucleo Speciale Privacy della Guardia di Finanza: “Il registro sarà la prima cosa che chiederemo” e poi “Il nostro verbale di ispezione non indicherà sanzioni pecuniarie ma solo conclusioni e valutazioni che verranno inviate al Garante”.
Quindi tenderei a estinguere le ansie da GDPR innescate da buona parte dei nostri media, alimentate da alcuni operatori del settore (più o meno capaci: diffidiamo da chi non ha studiato bene la materia e che ha soluzioni rapide e fully compliance – i miei occhi hanno dovuto leggere anche questo – la materia è complessa e le soluzioni devono essere basate su analisi individualizzate e non esenti da dubbi, che troveranno risposte in un ampio futuro) e tenute vive da una colata lavica di e-mail; queste ci informano baldanzosamente che qualcuno si è adeguato al Nuovo Regolamento Europeo. Il mio primo pensiero, solitamente, è “Di già?”, il secondo s’impegna a decidere, caso per caso, se spostarle nel cestino senza aprirle o nella cartella Infovarie Ricevute senza leggerle.
In conclusione potremmo dire che la maggior criticità s’identifica nella possibile attivazione di avventurosi avventurieri o lavoratori arrabbiati, oppure gloriosi avvoltoi delle questioni di principio; tipologie umane che potrebbero ardire a un facile guadagno. Per evitare di incappare in tali oneri si può pensare di iniziare a lavorare per:mettere a posto le informative e, ove richiesto, i consensi, andando ad analizzare con cura i trattamenti e le tipologie di dati che si incamerano (con particolare attenzione alle tecnologie di videosorveglianza, localizzazione e ai trattamenti che riguardano i minori);fare ordine nei sistemi di sicurezza informatica e cartacea (i cari vecchi requisiti minimi decadono e devono sparire, a favore di una precisa analisi tecnica);nominare correttamente i Responsabili del trattamento o farsi nominare come tali (se siamo professionisti che trattano dati per conto di un Titolare);redigere i registri dei trattamenti; i garanti europei (Gruppo ex art. 29), in una recente interpretazione restrittiva del paragrafo 5 dell’art. 30 del Regolamento, indicano che il registro deve essere tenuto da qualsiasi impresa o organizzazione che abbia almeno un lavoratore al suo interno;
nominare e istruire gli incaricati, cioè tutti coloro che per qualsivoglia motivo si trovano a utilizzare o analizzare i dati; il percorso di formazione non ha requisiti di durata, contenuti o qualificazione del formatore: il regolamento prevede che le persone che hanno a che fare coi dati vengano informate sui termini del Regolamento e sulle modalità di protezione che devono attuare.
Se poi dovessimo scoprire che ci sono modifiche da apportare, saremmo solo precisi esecutori di Privacy by Design e Privacy by Default, principi rigorosamente espressi dal Regolamento europeo.