Cookie free: nessun "biscotto" per spiare i lettori

InterLex - RIVISTA DI DIRITTO TECNOLOLOGIA INFORMAZIONE

 

Regolamento europeo: ritardi e cose da fare. Subito!

Privacy e sicurezza - Paolo Ricchiuto* - 26 febbraio 2018

Mancano meno di novanta giorni al 25 maggio, quando il GDPR andrà a regime. Il sistema è in ritardo. Ma, che si sia studiato bene o no, è arrivato il momento di fare i compiti a casa. Ecco i più urgenti.

E’ inutile negarlo. Di fronte ad una rivoluzione così ampia come quella disegnata dal Regolamento, il sistema è nel suo complesso in una situazione estremamente complicata.
In attesa che il Governo, nell’esercizio della delega conferita con la L. 163/17, proceda all’opera di armonizzazione tra il nostro Codice ed il Regolamento (sempre che un Governo "operativo" ci sia, dopo il 4 marzo !), diciamo le cose come stanno: tutti sono in ritardo.

E’ in ritardo il Garante.

L’Autorità ha fatto molte cose. Alcune del tutto inutili (le varie infografiche sulle Linee guida del Gruppo art. 29, ultime in ordine di apparizione quelle relative alla valutazione di impatto). Altre molto utili (per esempio, la Guida all’applicazione del Regolamento, corredata dai precedenti dell’Autorità - ed in genere l’impianto del sito dell’Autorità, che si pone come una fonte aggiornata ed esaustiva per tutti gli operatori del settore).
Ma il Garante, inspiegabilmente, non ha ancora dato concretezza ad un elemento potenzialmente decisivo dell’ingranaggio per una buona partenza nella applicazione del Regolamento, cioè la definizione dei criteri necessari per poter dare avvio al sistema della certificazione, veicolo attraverso il quale i titolari del trattamento potrebbero trovare una importantissima guida che, seppure non decisiva (rimanendo ferma la possibilità per l’Autorità di controllo di operare le proprie verifiche ed eventualmente fare delle contestazioni), avrebbe comunque un ruolo fondamentale per allinearsi agli adempimenti di base previsti dal Regolamento. Sul tema l’ultima puntata resta il comunicato congiunto con Accredia di luglio 2017 e la situazione è ad oggi ancora in pieno stallo, rendendo impercorribile la certificazione.

E’ in ritardo la Commissione Europea.

Al di là di iniziative di divulgazione di grande impatto estetico (e di imperscrutabili calcoli sui grandi vantaggi che il Regolamento porta con sé, quantificati non si capisce bene come in 2,3 miliardi di euro!), mancano all’appello una serie di atti delegati previsti dal Regolamento, che pure la Commissione aveva il potere di emanare già dal 24 maggio 2016 (vedi l'art. 92 del GDPR). E si tratta, in alcuni ambiti, di documenti che potrebbero essere utilissimi in questa fase iniziale (basti pensare alle "icone standardizzate" per gestire in modo più snello l’obbligo di informativa – art. 12 commi 7 e 8 GDPR).

Anche il Gruppo art. 29, infine, che come è noto ha lavorato moltissimo, emanando molte importanti linee guida (sul DPO, sulla valutazione d’impatto, sulla portabilità dei dati, sul data breach ed altre ancora), è ancora nella fase di consultazione pubblica per le Linee Guida relative al consenso, alla trasparenza ed alle modalità di accreditamento degli organismi di certificazione.

Basta questo panorama istituzionale, per mettersi al riparo del rassicurante, italico cappello: tutti in ritardo, nessun ritardatario ?

La risposta è no: la leva del rinvio, infatti, non ce l’ha in mano il nostro legislatore, e il Regolamento entrerà a pieno regime il 25 maggio, quale che sia la situazione di contorno.

Ogni titolare del trattamento, quindi, dovrà misurarsi con il nuovo sole intorno al quale ruota l’intero sistema privacy, e cioè a dire il cosiddetto principio di accountability (art. 24 GDPR), che, prima ancora dell’ adempimento agli obblighi specifici previsti dal Regolamento, mette nelle mani di chi "determina le modalità e finalità del trattamento" la valutazione di cosa fare e cosa non fare, e in particolare di quali misure tecniche e organizzative adottare e quali no, sulla base di un criterio di "adeguatezza" che, calandosi nella propria realtà operativa, deve essere da ognuno tarato mediante una valutazione "self made" tanto virtuosa ed elastica, quanto pericolosa.

Fermo questo tessuto di fondo, che rischia di lasciare paralizzati per il terrore di sbagliare, da qualcosa bisognerà pur partire per dare seguito agli adempimenti. Ecco allora, a volo d’angelo, una piccola To Do List (ovviamente non del tutto esaustiva) che, declinata nelle forme che si riterranno più opportune, può aiutare una ragionata programmazione dei prossimi mesi:

1. Il punto di partenza, è la redazione del registro dei trattamenti (art. 30), che tanto ricorda l’odiatissimo DPS, e che ruota intorno al necessario, e noiosissimo, censimento interno. Si tratta di una base ineludibile, sulla scorta della quale operare poi tutte le considerazioni relative:
a) alle misure di sicurezza adottate e da adottare, ormai anch’esse svincolate da prescrizioni specifiche (le cosiddette "misure minime" previste dal Codice e dall’Allegato B, che concettualmente non esistono più) ed affidate a valutazioni di "adeguatezza ed efficacia" da parte del titolare;
b) alla necessità o meno di dare seguito alla valutazione d’impatto (DPIA): soltanto dopo aver acquisito un quadro completo dei trattamenti che vengono effettuati nella propria organizzazione, infatti, si potrà essere in grado di verificare se sussistano o meno i presupposti per dare seguito alla valutazione d’impatto fissati dall’art. 35 (e, se del caso, alla prior consultation di cui all’art. 36). Sotto questo punto di vista, quindi, l'esclusione delle aziende sotto i 250 dipendenti dall’obbligo di redazione del registro dei trattamenti (art. 30 comma 5), anche ove applicabile, sembra piuttosto virtuale, ed è certamente consigliabile per tutti, comprese le piccole e medie imprese, partire comunque dal registro dei trattamenti, anche come primissimo strumento per "dimostrare" l’adempimento degli obblighi previsti dal GDPR ;

2. vanno riviste tutte le modulistiche in essere. Prima fra tutte, quella relativa alla informativa, visto che gli artt. 13 e 14 introducono degli elementi nuovi (per esempio, base giuridica del trattamento; tempi di conservazione eccetera), che nessuno fino a oggi poteva aver considerato. A cascata, vanno riviste le formule per il rilascio del consenso e studiata la possibilità di utilizzare le leve del nuovo assetto disegnato dagli art. 6 e 9 del GDPR per il rilascio di un valido consenso anche senza una vera e propria dichiarazione, visto il noto superamento della dinamica del consenso "documentato per iscritto" per i dati comuni, o "scritto per i dati sensibili, e il nuovo concetto di "azione positiva inequivocabile" per gli uni, e di consenso "esplicito" per gli altri;

3. Va riesaminato l’impianto dei ruoli privacy interni ed esterni all’azienda tenendo conto:
a) delle grandi novità inserite all’art. 28, che supera il concetto di "designazione" del responsabile del trattamento, lo sostituisce con quello di "contratto o altro atto giuridico", e soprattutto consente ad un responsabile di "ricorrere" ad un sub-responsabile, dandogli anche il potere di formalizzare il rapporto con lo stesso (ciò che fino ad oggi era impedito dal Codice, costringendo i titolari a salti mortali per la gestione dei fornitori e sub-fornitori, che si potranno evitare facendo un uso intelligente delle nuove disposizioni);
b) del superamento da parte del GDPR del concetto di "designazione" degli incaricati, passaggio burocratico che si potrà evitare, essendo onere del titolare (e del responsabile) esclusivamente quello di "istruire" tutti coloro che operano sotto la loro autorità (art. 29);
c) della necessità o meno di designare un Data Protection Officer, figura obbligatoria solo per le pubbliche amministrazioni e per determinati ambiti definiti dall’art. 37, ma in realtà ampiamente consigliata (anche in modo forse un po’ troppo spinto…) dal Gruppo art. 29 nelle relative Linee Guida, come misura da adottare anche a prescindere dalla esistenza o meno dei presupposti normativi che rendono necessaria la designazione;

4. vagliare la esperibilità della misura della pseudonimizzazione dei dati, prevista dal Regolamento come misura adeguata in sé, in molti ambiti;

5. articolare delle procedure tecniche ed organizzative per consentire l’esercizio nei "nuovi diritti" previsti dal GDPR in capo all’interessato, con specifico riferimento alla cancellazione (oblio da estendere urbi et orbi, come previsto dall’art. 17 comma 2); alla limitazione del trattamento (contrassegno che identifichi i dati a trattamento limitato - art. 18); alla portabilità dei dati (formato interoperabile di uso comune – art. 20); alla opposizione alla profilazione ed ai trattamenti automatizzati;

6. prevedere, ancora, procedure tecniche ed organizzative per gestire un eventuale data breach: sul punto, il Garante ha annunciato che metterà a disposizione un modulino, opportunamente adattando quello già in essere per i fornitori di servizi di comunicazioni elettroniche che, unici nella attuale disciplina del Codice, sono tenuti ad oggi a notificare una violazione di dati;

7. in caso di trattamento di dati genetici o biometrici, vagliare l’effetto della scelta operata dal Regolamento, di ricondurre questi ambiti alla "categoria particolare" di cui all’art. 9 (assetto completamente diverso rispetto a quello del Codice, in cui dati biometrici e genetici non erano compresi nell’area dei cosiddetti dati sensibili)

8. valutare, qualora i dati vengano trasferiti fuori dall’Unione, quali leve utilizzare tra quelle previste dal Regolamento (valutazione di adeguatezza, binding corporate rules etc).

Pronti?

* Avvocato

Per intervenire su questo argomento clicca qui
Inizio pagina     Indice di questa sezione      Home
InterLex su Facebook
Arma di sorveglianza di massa che limita la nostra libertà. Possiamo difenderci?
Un piccolo libro per capire come le tecnologie "smart" invadono la nostra vita privata e influenzano le nostre scelte.
Per saperne di più
Leggi le prime pagine
Le recensioni
Stampato o ebook
Acquistalo su Amazon
Storie italiane di spionaggio
IL COLONNELLO REY
Il colonnello Rey su Facebook

Pubblicazione iscritta nel registro della stampa del Tribunale di Roma con il n. 585/97 - Direttore responsabile Manlio Cammarata - P. IVA 13001341000

© Manlio Cammarata/InterLex 2018 -  Informazioni sul copyrightPrivacy