Cookie free: nessun "biscotto" per spiare i lettori

Cinque punti essenziali da rispettare per il 25 maggio

Privacy e sicurezza - Manlio Cammarata - 26 aprile 2018

1. Il primo adempimento importante, dal quale deriva tutto il resto, è il registro dei trattamenti previsto dall'art. 30 del Regolamento. Sono esonerate le organizzazioni e le imprese con meno di 250 dipendenti, ma solo se non svolgono i trattamenti critici elencati al paragrafo 5 (vedi anche GDPR, articolo 30, comma 5:  "dipendenti" o "persone"? di Andrea Gelpi).
Dalle indicazioni obbligatorie da scrivere nel registro (più altre, consigliabili) derivano di fatto tutti gli altri adempimenti.

2. Il secondo adempimento inderogabile è la valutazione di impatto (art. 35), necessaria quando un trattamento che "prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche".
Il paragrafo 7 dell'art. 35 presenta un elenco minimo delle informazioni che devono essere inserite nella valutazione di impatto.

Ma c'è un problema: per i paragrafi 4 e 5, le autorità di controllo nazionali devono rendere pubblico "un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati", nonché "un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d'impatto sulla protezione dei dati".
Il nostro Garante non ha ancora reso pubblici tali elenchi e quindi l'incertezza è totale.

3. I registri dei trattamenti e le (eventuali) valutazioni di impatto costituiscono anche un'utile base di partenza per la predisposizione delle informative (artt. 12 e seguenti) e quindi del consenso dell'interessato (art. 7).
Anche qui nel GDPR sono previste limitazioni a livello nazionale (art. 23) e anche qui le indicazioni ritardano, generando altre incertezze.

4. Un altro adempimento che è consigliabile compiere entro il 25 maggio è la nomina del Responsabile della protezione dei dati (RPD o DPO, Data Protection Officer), nei casi in cui è prevista (artt. 37 e seguenti).
Del DPO si è parlato anche troppo e tanti si sono affrettati a proporsi per questo ruolo. Altri hanno improvvisato corsi e improbabili "certificazioni" (vedi Certificazioni privacy: fermi tutti, aspettiamo il Garante).

Ma sembra che nessuno abbia tenuto conto di un particolare che può rendere meno appetibile il ruolo di DPO. E' vero che "Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l'adempimento dei propri compiti" (art. 38), ma è anche vero che nell'ordinamento italiano c'è la responsabilità civile del professionista, con tanto di assicurazione obbligatoria. Quindi il titolare (o il responsabile) potrebbe chiedere al DPO il risarcimento di eventuali danni subiti per causa sua. E in alcuni casi il conto potrebbe essere salato.

5. E' difficile che chi non ha provveduto in tempo utile possa risolvere il problema in meno di un mese, ma un altro adempimento, o insieme di adempimenti, che dovrebbero essere compiuti entro il 25 maggio riguarda la sicurezza del trattamento (art. 32).
Titolare e responsabile devono "mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischi". E "livello adeguato" è qualcosa di molto più impegnativo delle antiche "misure minime", il cui burocratico rispetto in molti casi poteva bastare a evitare inconvenienti sanzionatori (vedi anche Cifratura dei dati: utile, necessaria o pericolosa? di Andrea Gelpi) .

Bastano questi cinque punti a mettere al sicuro i titolari da rilievi e sanzioni dopo il 25 maggio? Probabilmente no, ma ci sono da mettere in conto i ritardi delle "autorità competenti" che avevano due anni di tempo per predisporre un passaggio non traumatico dal vecchio al nuovo regime e non hanno fatto nulla.

C'è il serio rischio di non avere neanche le norme di aggiornamento del Codice del 2003 (la delega scade il 21 maggio e sembra che il discusso testo (vedi Lo schema del "decreto privacy": non solo incostituzionale) non sia ancora pervenuto alle Commissioni speciali delle Camere). Mentre il Garante non ha provveduto a fare chiarezza su molti punti, a cominciare dalla revisione delle norme di propria competenza (vedi GDPR: dal Garante nemmeno i chiarimenti di base di Paolo Ricchiuto)

E resta il ritardo europeo nell'approvazione del "Regolamento ePrivacy", che avrebbe dovuto essere applicabile insieme al Regolamento generale, ma che non si vede ancora all'orizzonte. Come dire che i trenta giorni che mancano al 25 maggio sono solo l'inizio di una lunga serie di "adeguamenti" che si concluderà – forse – alla fine dell'anno.