Cookie free: nessun "biscotto" per spiare i lettori

InterLex - RIVISTA DI DIRITTO TECNOLOLOGIA INFORMAZIONE

 

 

Cinque punti essenziali da rispettare per il 25 maggio

Privacy e sicurezza - Manlio Cammarata - 26 aprile 2018

L'agenda dei titolari dei trattamenti per i prossimi trenta giorni è così piena che pochi riusciranno a rispettare tutti gli adempimenti. A parte le incertezze causate dai ritardi della normativa nazionale, ecco un elenco minimo delle cose da fare.

1. Il primo adempimento importante, dal quale deriva tutto il resto, è il registro dei trattamenti previsto dall'art. 30 del Regolamento. Sono esonerate le organizzazioni e le imprese con meno di 250 dipendenti, ma solo se non svolgono i trattamenti critici elencati al paragrafo 5 (vedi anche GDPR, articolo 30, comma 5:  "dipendenti" o "persone"? di Andrea Gelpi).
Dalle indicazioni obbligatorie da scrivere nel registro (più altre, consigliabili) derivano di fatto tutti gli altri adempimenti.

2. Il secondo adempimento inderogabile è la valutazione di impatto (art. 35), necessaria quando un trattamento che "prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche".
Il paragrafo 7 dell'art. 35 presenta un elenco minimo delle informazioni che devono essere inserite nella valutazione di impatto.

Ma c'è un problema: per i paragrafi 4 e 5, le autorità di controllo nazionali devono rendere pubblico "un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati", nonché "un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d'impatto sulla protezione dei dati".
Il nostro Garante non ha ancora reso pubblici tali elenchi e quindi l'incertezza è totale.

3. I registri dei trattamenti e le (eventuali) valutazioni di impatto costituiscono anche un'utile base di partenza per la predisposizione delle informative (artt. 12 e seguenti) e quindi del consenso dell'interessato (art. 7).
Anche qui nel GDPR sono previste limitazioni a livello nazionale (art. 23) e anche qui le indicazioni ritardano, generando altre incertezze.

4. Un altro adempimento che è consigliabile compiere entro il 25 maggio è la nomina del Responsabile della protezione dei dati (RPD o DPO, Data Protection Officer), nei casi in cui è prevista (artt. 37 e seguenti).
Del DPO si è parlato anche troppo e tanti si sono affrettati a proporsi per questo ruolo. Altri hanno improvvisato corsi e improbabili "certificazioni" (vedi Certificazioni privacy: fermi tutti, aspettiamo il Garante).

Ma sembra che nessuno abbia tenuto conto di un particolare che può rendere meno appetibile il ruolo di DPO. E' vero che "Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l'adempimento dei propri compiti" (art. 38), ma è anche vero che nell'ordinamento italiano c'è la responsabilità civile del professionista, con tanto di assicurazione obbligatoria. Quindi il titolare (o il responsabile) potrebbe chiedere al DPO il risarcimento di eventuali danni subiti per causa sua. E in alcuni casi il conto potrebbe essere salato.

5. E' difficile che chi non ha provveduto in tempo utile possa risolvere il problema in meno di un mese, ma un altro adempimento, o insieme di adempimenti, che dovrebbero essere compiuti entro il 25 maggio riguarda la sicurezza del trattamento (art. 32).
Titolare e responsabile devono "mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischi". E "livello adeguato" è qualcosa di molto più impegnativo delle antiche "misure minime", il cui burocratico rispetto in molti casi poteva bastare a evitare inconvenienti sanzionatori (vedi anche Cifratura dei dati: utile, necessaria o pericolosa? di Andrea Gelpi) .

Bastano questi cinque punti a mettere al sicuro i titolari da rilievi e sanzioni dopo il 25 maggio? Probabilmente no, ma ci sono da mettere in conto i ritardi delle "autorità competenti" che avevano due anni di tempo per predisporre un passaggio non traumatico dal vecchio al nuovo regime e non hanno fatto nulla.

C'è il serio rischio di non avere neanche le norme di aggiornamento del Codice del 2003 (la delega scade il 21 maggio e sembra che il discusso testo (vedi Lo schema del "decreto privacy": non solo incostituzionale) non sia ancora pervenuto alle Commissioni speciali delle Camere). Mentre il Garante non ha provveduto a fare chiarezza su molti punti, a cominciare dalla revisione delle norme di propria competenza (vedi GDPR: dal Garante nemmeno i chiarimenti di base di Paolo Ricchiuto)

E resta il ritardo europeo nell'approvazione del "Regolamento ePrivacy", che avrebbe dovuto essere applicabile insieme al Regolamento generale, ma che non si vede ancora all'orizzonte. Come dire che i trenta giorni che mancano al 25 maggio sono solo l'inizio di una lunga serie di "adeguamenti" che si concluderà – forse – alla fine dell'anno.

Per intervenire su questo argomento clicca qui
Inizio pagina     Indice di questa sezione      Home
InterLex su Facebook
Manlio Cammarata - Non è Casablanca, colonnello Rey
Libia 2015.
L'agente senza pistola
tra i tagliagole dell'ISIS.
Leggi tutto
Le recensioni
ebook  € 2,99 - Acquistalo
Il colonnello Rey - Facebook
Manlio Cammarata - Un doppio enigma, colonnello Rey
Un omicidio in una stanza chiusa. Una storia di spie, traditori e codici segreti.
Leggi tutto
Le recensioni
ebook  € 2,99 - Acquistalo
Manlio Cammarata - Il colonnello Rey, suppongo
Un giornalista che scompare.
Una "talpa" nel Palazzo. Un agente segreto senza pistola. 
Leggi tutto
Le recensioni
ebook  € 2,99 - Acquistalo

Pubblicazione iscritta nel registro della stampa del Tribunale di Roma con il n. 585/97 - Direttore responsabile Manlio Cammarata - P. IVA 13001341000

© Manlio Cammarata/InterLex 2018 -  Informazioni sul copyright