Cookie free: nessun "biscotto" per spiare i lettori

InterLex - RIVISTA DI DIRITTO TECNOLOLOGIA INFORMAZIONE

 

GDPR: dal Garante nemmeno i chiarimenti di base

Privacy e sicurezza - Paolo Ricchiuto* - 26 aprile 2018

Sono tante le attività che il Garante avrebbe potuto fare in anticipo sulla scadenza del 25 maggio. Ma, anche nei documenti già messi a disposizione, ci sono tanti problemi insoluti. Prendiamone due...

1. C’è un profilo importantissimo per la riorganizzazione dei ruoli privacy cui le aziende sono chiamate nell’attuale, burrascoso momento di assessment. Tutti sappiamo, che nel regime del Codice privacy, si è fatto ampissimo ricorso all’istituto della designazione come responsabile di soggetti interni alla propria organizzazione (resa possibile dalla disciplina del Codice, sotto questo profilo non pienamente in linea con lo spirito della Direttiva 45/CE): è quasi paradigmatico, sul mercato, lo schema che vede designati come responsabili, ad esempio, il livello apicale della funzione risorse umane, quello dell’IT o quello dell’amministrazione.

Ora, rispetto a tale realtà, la nuova configurazione del ruolo di responsabile del trattamento, così come delineata nell’art. 28 del GDPR, reca con sé una innovazione di eccezionale rilievo: per come concepito dal legislatore europeo, infatti, il ruolo del responsabile è necessariamente disegnato su un soggetto esterno all’azienda, che opera "per conto" del titolare, e che (basta scorrere, appunto, l’art. 28) ha una serie di caratteristiche intrinseche incompatibili con un soggetto che faccia parte dell’organigramma interno del titolare.

Ci si sarebbe aspettati, quindi, che almeno nella attività informativa di base, costituita dalla Guida Operativa pubblicata dal Garante, e da ultimo aggiornata, si dedicasse al tema almeno un accenno, spiegando che i responsabili interni non possono più esistere in quanto tali. Ed invece no: nemmeno una riga. Con il risultato che, nel delirio che sta caratterizzando l’avvicinamento al 25 maggio, moltissime organizzazione non si stanno nemmeno ponendo il problema della doverosa ri-definizione del ruolo di quelli che ormai dovremmo chiamare ex-responsabili;

2. Nelle FAQ in ambito privato, il Garante ha ritenuto utile lanciarsi in una elencazione di soggetti che devono considerarsi "tenuti alla nomina del DPO". Nonostante lo stesso documento chiarisca in un inciso il fatto che quella elencazione postuli comunque che sussistano i presupposti fissati dall’art. 37, il messaggio che è passato è che, ad esempio, un call center, in quanto tale, sia tenuto alla designazione del DPO. Ripeto: nel documento, se lo si legge con attenzione, l’Autorità ha chiarito la portata della elencazione, e per i più avveduti è agevole rilevare che un call center non è affatto tenuto ad avere un DPO, se non svolge operazioni di trattamento descritte nell’art. 37.

Quello che va evidenziato, allora, in questo caso, è un deficit di chiarezza e di comunicazione, che, se non si vogliamo chiudere gli occhi e far finta di nulla, sta portando a vivere come una sorta di prescrizione quello che l’Autorità ha invece voluto lanciare come elemento chiarificatore, che tutto ha fatto meno che chiarire.

Tanto c’è da fare, allora. Ma, anche nelle cose già fatte, sarebbe forse il caso di operare qualche aggiustamento.

* Avvocato

Per intervenire su questo argomento clicca qui
Inizio pagina     Indice di questa sezione      Home
InterLex su Facebook
Arma di sorveglianza di massa che limita la nostra libertà. Possiamo difenderci?
Un piccolo libro per capire come le tecnologie "smart" invadono la nostra vita privata e influenzano le nostre scelte.
Per saperne di più
Leggi le prime pagine
Le recensioni
Stampato o ebook
Acquistalo su Amazon
Storie italiane di spionaggio
IL COLONNELLO REY
Il colonnello Rey su Facebook

Pubblicazione iscritta nel registro della stampa del Tribunale di Roma con il n. 585/97 - Direttore responsabile Manlio Cammarata - P. IVA 13001341000

© Manlio Cammarata/InterLex 2018 -  Informazioni sul copyrightPrivacy