GDPR informazioni e riflessioni

Volevo evitare di scrivere questo articolo, l’ennesimo relativo al GDPR o Regolamento Europeo 679/2016 ma le imprecisioni e banalità che ho sentito mi hanno convinto a fare qualche precisazione e qualche riflessione sperando che possano essere utili.

Chi pensa che sia sufficiente aggiornare un pò di documenti può incominciare a mettere via i soldi per le sanzioni che arriveranno e non perda tempo a leggere questo articolo o a contattarmi per avere “un pò di carta”.

Purtroppo ho già visto troppa documentazione che definire approssimativa è poco. Documenti sbagliati e, a mio avviso, motivo di sanzione in quanto difformi da quanto stabilito dalla normativa, utili solo a dormire sonni tranquilli spendendo pochi euro salvo poi svegliarsi quando arriva un controllo ed accorgersi di non aver fatto nulla.

L’aspetto formale è importante quanto quello sostanziale, abbiamo già visto in passato come una corretta informativa cambia il giudizio del Garante (soprattutto nei rapporti di lavoro) ma non è possibile pensare che una corretta informativa possa sostituire sistemi tecnici, organizzativi e strutturali di sicurezza.

Partiamo dalle novità più importanti :

  1. Misure di sicurezza – mentre il D.Lgs. 196/2003 stabiliva misure minime piuttosto precise dedicando un disciplinare tecnico (allegato B), il Regolamento Europeo parla di “misure adeguate” lasciando discrezionalità al Titolare di scegliere quali misure adottare. La libertà di scegliere aumenta la possibilità di sbagliare.
  2. Accountability – viene evidenziata la responsabilità del Titolare riguardo alla protezione dei dati. Il Titolare deve provare di aver fatto il possibile per la protezione dei dati personali a lui affidati (colpevole fino a prova contraria…).
  3. Responsabili e Incaricati – nel GDPR non esiste la figura di Incaricato mentre il Responsabile del trattamento è personalmente responsabile per le proprie mansioni e, a differenza del D.Lgs. 196/2003, può nominare altri responsabili. Il Responsabile del trattamento può nominare anche altre persone (art. 29 – incaricati?)
  4. DPO / RPD – il Data Protection Officer / Responsabile per la Protezione dei Dati è una figura obbligatoria per la Pubblica Amministrazione e per alcune aziende private. Le aziende private che devono nominare un DPO non devono necessariamente essere “grandi” ma devono trattare determinati dati in specifiche modalità. La normativa non ci aiuta a comprendere fino in fondo quali aziende private debbano nominare il DPO e quindi rientriamo nel concetto di Responsabilità del Titolare nella Valutazione della situazione salvo poi rischiare di sentirsi dire – in fase di controllo – che la scelta non è corretta.
  5. Registro delle attività di trattamento – in alcuni casi definiti dall’art. 30 del GDPR è obbligatorio tenere questo registro da parte del Titolare e dei Responsabili. Anche se non è obbligatorio dobbiamo pensare che la necessità di provare di aver fatto quanto necessario (accountability) ci porta a produrre documentazione e quindi perché non il Registro delle attività di trattamento? Ma non è questo il momento di valutare pro e contro di questa scelta… mi limito a farvi riflettere.

Esistono poi alcune novità che non sono tali, si parla di diritto all’oblio ma Antonello Soro, Presidente dell’Autorità Garante per la protezione dei Dati,  ha rilasciato un intervista a Radio Radicale in data 18/9/2014.

La valutazione di impatto sulla protezione dei dati è una novità in quanto viene resa obbligatoria (in determinati casi) ma era un’attività basilare per poter scegliere le misure di sicurezza più adeguate.

L’inasprimento delle multe –  non ho inserito questa novità nei punti importanti in quanto sono stanco di vedere questo argomento strumentalizzato per attirare l’attenzione delle Aziende e dei Professionisti. Se avete bisogno di sanzioni alte per adeguarvi allora dovreste pensare che anche prima erano alte… certo 2.000.000 non sono 20.000.000 o 4% del fatturato mondiale ma credo che siano già un buon motivo (se si esclude il desiderio di comportarsi correttamente) per adeguarsi.

Le nuove norme servono per applicare sanzioni adeguate ad aziende multinazionali che, altrimenti, valuterebbero “accettabile” quella che per loro sarebbe una piccola sanzione rispetto al vantaggio che avrebbero non rispettando la norma.

Con il GDPR, colossi come Google, Facebook o Telecom, rischiano una sanzione fino al 4% del fatturato mondiale. In questo caso la valutazione del rischio dovrebbe portare queste aziende ad adeguare le loro politiche commerciali alle normative privacy.

L’approccio più sbagliato al GDPR è proprio quello di valutare l’adeguamento in funzione delle sanzioni.

Il rispetto della Privacy dimostra correttezza anche negli altri ambiti aziendali, nei rapporti commerciali con i nostri clienti e fornitori ed inoltre, come mi è capitato spesso di dire, rappresenta un’opportunità per far valere i nostri diritti.

Quindi cosa dobbiamo fare ? Valutazione

  • attuale documentazione
  • struttura aziendale
  • struttura informatica
  • organizzazione logistica
  • formazione/informazione persone autorizzate
  • misure di sicurezza

Ancora una volta le misure di sicurezza devono essere intese “in base al progresso tecnico” e, per quanto non si debba pensare di spendere più di quanto non si possa fare, saranno certamente valutate le “possibilità” del titolare quando si analizzeranno le misure di sicurezza scelte.

Con questo articolo non voglio approfondire singoli aspetti e forse non lo farò neppure in seguito ma mi sembrava utile scrivere queste righe sperando di non aver aggiunto confusione a quella già presente.

… divertiamoci con un pò di ACRONIMI

  • GDPR – General Data Protection Regulation
  • DPO – Data Protection Officer (in italiano RPD)
  • RPD – Responsabile della Protezione dei Dati (DPO)
  • DPIA – Data Protection Impact Assessment – Valutazione di impatto sulla protezione dei dati
  • PIA – Privacy Impact Analysis – Valutazione di impatto sulla protezione dei dati

Per ulteriori informazioni :
Bertoli Roberto – bertoli@consulenzaecomunicazione.com – 347.3908393

 

25 maggio679679/16679/2016DPIADPOgdprLa SpeziaprivacyProtezione datiRegolamento EuropeoRPD