|
Mancano meno di novanta giorni al 25 maggio, quando il GDPR
andrà a regime. Il sistema è in ritardo. Ma, che si sia studiato bene o no, è
arrivato il momento di fare i compiti a casa. Ecco i più urgenti.
E’ inutile negarlo. Di fronte ad una rivoluzione così
ampia come quella disegnata dal Regolamento, il sistema è nel suo complesso in
una situazione estremamente complicata.
In attesa che il Governo, nell’esercizio della delega conferita con la L. 163/17, proceda all’opera di armonizzazione
tra il nostro Codice ed il Regolamento (sempre che un Governo
"operativo" ci sia, dopo il 4 marzo !), diciamo le cose come stanno:
tutti sono in ritardo.
E’ in ritardo il Garante.
L’Autorità ha fatto molte cose. Alcune del tutto inutili (le varie
infografiche sulle Linee guida del Gruppo art. 29, ultime in ordine di
apparizione quelle relative alla valutazione di impatto). Altre
molto utili (per esempio, la Guida all’applicazione del Regolamento, corredata dai
precedenti dell’Autorità - ed in genere l’impianto del sito dell’Autorità,
che si pone come una fonte aggiornata ed esaustiva per tutti gli operatori del
settore).
Ma il Garante, inspiegabilmente, non ha ancora dato concretezza ad un
elemento potenzialmente decisivo dell’ingranaggio per una buona partenza nella
applicazione del Regolamento, cioè la definizione dei criteri
necessari per poter dare avvio al sistema della certificazione, veicolo
attraverso il quale i titolari del trattamento potrebbero trovare una
importantissima guida che, seppure non decisiva (rimanendo ferma la possibilità
per l’Autorità di controllo di operare le proprie verifiche ed eventualmente
fare delle contestazioni), avrebbe comunque un ruolo fondamentale per allinearsi
agli adempimenti di base previsti dal Regolamento. Sul tema l’ultima puntata
resta il comunicato congiunto con Accredia di luglio 2017 e la
situazione è ad oggi ancora in pieno stallo, rendendo impercorribile la
certificazione.
E’ in ritardo la Commissione Europea.
Al di là di iniziative di divulgazione di grande impatto
estetico (e di imperscrutabili calcoli sui grandi vantaggi che il Regolamento
porta con sé, quantificati non si capisce bene come in 2,3 miliardi di euro!),
mancano all’appello una serie di atti delegati previsti dal Regolamento,
che pure la Commissione aveva il potere di emanare già dal 24 maggio 2016 (vedi
l'art. 92 del GDPR). E si tratta, in alcuni ambiti, di documenti che potrebbero
essere utilissimi in questa fase iniziale (basti pensare alle "icone
standardizzate" per gestire in modo più snello l’obbligo di informativa
– art. 12 commi 7 e 8 GDPR).
Anche il Gruppo art. 29, infine, che come è noto ha lavorato
moltissimo, emanando molte importanti linee guida (sul DPO, sulla valutazione d’impatto,
sulla portabilità dei dati, sul data breach ed altre ancora), è ancora nella
fase di consultazione pubblica per le Linee Guida relative al consenso, alla
trasparenza ed alle modalità di accreditamento degli organismi di
certificazione.
Basta questo panorama istituzionale, per mettersi al riparo
del rassicurante, italico cappello: tutti in ritardo, nessun ritardatario ?
La risposta è no: la leva del rinvio, infatti, non ce l’ha
in mano il nostro legislatore, e il Regolamento entrerà a pieno regime il 25
maggio, quale che sia la situazione di contorno.
Ogni titolare del trattamento, quindi, dovrà misurarsi con
il nuovo sole intorno al quale ruota l’intero sistema privacy, e cioè a dire
il cosiddetto principio di accountability (art. 24 GDPR), che, prima ancora dell’
adempimento agli obblighi specifici previsti dal Regolamento, mette nelle mani
di chi "determina le modalità e finalità del trattamento" la
valutazione di cosa fare e cosa non fare, e in particolare di quali misure
tecniche e organizzative adottare e quali no, sulla base di un criterio di
"adeguatezza" che, calandosi nella propria realtà operativa, deve
essere da ognuno tarato mediante una valutazione "self made" tanto
virtuosa ed elastica, quanto pericolosa.
Fermo questo tessuto di fondo, che rischia di lasciare
paralizzati per il terrore di sbagliare, da qualcosa bisognerà pur partire per
dare seguito agli adempimenti. Ecco allora, a volo d’angelo, una piccola To Do
List (ovviamente non del tutto esaustiva) che, declinata nelle forme che si
riterranno più opportune, può aiutare una ragionata programmazione dei
prossimi mesi:
1. Il punto di partenza, è la redazione del registro dei trattamenti (art. 30),
che tanto ricorda l’odiatissimo DPS, e che ruota intorno al necessario, e
noiosissimo, censimento interno. Si tratta di una base ineludibile, sulla scorta
della quale operare poi tutte le considerazioni relative:
a) alle misure di
sicurezza adottate e da adottare, ormai anch’esse svincolate da prescrizioni
specifiche (le cosiddette "misure minime" previste dal Codice e dall’Allegato B, che
concettualmente non esistono più) ed affidate a valutazioni di
"adeguatezza ed efficacia" da parte del titolare;
b) alla necessità o
meno di dare seguito alla valutazione d’impatto (DPIA): soltanto dopo aver
acquisito un quadro completo dei trattamenti che vengono effettuati nella
propria organizzazione, infatti, si potrà essere in grado di verificare se
sussistano o meno i presupposti per dare seguito alla valutazione d’impatto
fissati dall’art. 35 (e, se del caso, alla prior consultation di cui all’art.
36). Sotto questo punto di vista, quindi, l'esclusione delle aziende sotto i
250 dipendenti dall’obbligo di redazione del registro dei trattamenti (art. 30
comma 5), anche ove applicabile, sembra piuttosto virtuale, ed è certamente
consigliabile per tutti, comprese le piccole e medie imprese, partire comunque
dal registro dei trattamenti, anche come primissimo strumento per
"dimostrare" l’adempimento degli obblighi previsti dal GDPR ;2. vanno riviste tutte le modulistiche in essere. Prima fra tutte, quella
relativa alla informativa, visto che gli artt. 13 e 14 introducono degli
elementi nuovi (per esempio, base giuridica del trattamento; tempi di conservazione
eccetera), che nessuno fino a oggi poteva aver considerato. A cascata, vanno
riviste le formule per il rilascio del consenso e studiata la possibilità di
utilizzare le leve del nuovo assetto disegnato dagli art. 6 e 9 del GDPR per il
rilascio di un valido consenso anche senza una vera e propria dichiarazione,
visto il noto superamento della dinamica del consenso "documentato per
iscritto" per i dati comuni, o "scritto per i dati sensibili, e il
nuovo concetto di "azione positiva inequivocabile" per gli uni, e di
consenso "esplicito" per gli altri;
3. Va riesaminato l’impianto dei ruoli privacy interni ed esterni all’azienda
tenendo conto:
a) delle grandi novità inserite all’art. 28, che supera il concetto di
"designazione" del responsabile del trattamento, lo sostituisce con
quello di "contratto o altro atto giuridico", e soprattutto consente
ad un responsabile di "ricorrere" ad un sub-responsabile, dandogli
anche il potere di formalizzare il rapporto con lo stesso (ciò che fino ad oggi
era impedito dal Codice, costringendo i titolari a salti mortali per la gestione
dei fornitori e sub-fornitori, che si potranno evitare facendo un uso
intelligente delle nuove disposizioni);
b) del superamento da parte del GDPR del concetto di "designazione"
degli incaricati, passaggio burocratico che si potrà evitare, essendo onere del
titolare (e del responsabile) esclusivamente quello di "istruire"
tutti coloro che operano sotto la loro autorità (art. 29);
c) della necessità o meno di designare un Data Protection Officer, figura
obbligatoria solo per le pubbliche amministrazioni e per determinati ambiti
definiti dall’art. 37, ma in realtà ampiamente consigliata (anche in modo
forse un po’ troppo spinto…) dal Gruppo art. 29 nelle relative Linee Guida, come misura da adottare anche a prescindere
dalla esistenza o meno dei presupposti normativi che rendono necessaria la
designazione;
4. vagliare la esperibilità della misura della pseudonimizzazione dei dati,
prevista dal Regolamento come misura adeguata in sé, in molti ambiti;
5. articolare delle procedure tecniche ed organizzative per consentire l’esercizio
nei "nuovi diritti" previsti dal GDPR in capo all’interessato, con
specifico riferimento alla cancellazione (oblio da estendere urbi et orbi, come
previsto dall’art. 17 comma 2); alla limitazione del trattamento (contrassegno
che identifichi i dati a trattamento limitato - art. 18); alla portabilità dei
dati (formato interoperabile di uso comune – art. 20); alla opposizione alla
profilazione ed ai trattamenti automatizzati;
6. prevedere, ancora, procedure tecniche ed organizzative per gestire un
eventuale data breach: sul punto, il Garante ha annunciato che metterà a
disposizione un modulino, opportunamente adattando quello già in essere per i
fornitori di servizi di comunicazioni elettroniche che, unici nella attuale
disciplina del Codice, sono tenuti ad oggi a notificare una violazione di dati;
7. in caso di trattamento di dati genetici o biometrici, vagliare l’effetto
della scelta operata dal Regolamento, di ricondurre questi ambiti alla
"categoria particolare" di cui all’art. 9 (assetto completamente
diverso rispetto a quello del Codice, in cui dati biometrici e genetici non
erano compresi nell’area dei cosiddetti dati sensibili)
8. valutare, qualora i dati vengano trasferiti fuori dall’Unione, quali
leve utilizzare tra quelle previste dal Regolamento (valutazione di adeguatezza,
binding corporate rules etc).
Pronti?
* Avvocato
|
Home
sulle novità di
InterLex
Informazioni sul copyright