|
Sono tante le attività che il Garante avrebbe potuto fare in anticipo sulla
scadenza del 25 maggio. Ma, anche nei documenti già messi a disposizione, ci
sono tanti problemi insoluti. Prendiamone due...
1. C’è un profilo importantissimo per la riorganizzazione dei ruoli
privacy cui le aziende sono chiamate nell’attuale, burrascoso momento di
assessment. Tutti sappiamo, che nel regime del Codice privacy, si è fatto
ampissimo ricorso all’istituto della designazione come responsabile di
soggetti interni alla propria organizzazione (resa possibile dalla
disciplina del Codice, sotto questo profilo non pienamente in linea con
lo spirito della Direttiva 45/CE): è quasi paradigmatico, sul mercato, lo
schema che vede designati come responsabili, ad esempio, il livello
apicale della funzione risorse umane, quello dell’IT o quello dell’amministrazione.
Ora, rispetto a tale realtà, la nuova configurazione del ruolo di
responsabile del trattamento, così come delineata nell’art. 28 del GDPR,
reca con sé una innovazione di eccezionale rilievo: per come concepito dal
legislatore europeo, infatti, il ruolo del responsabile è necessariamente
disegnato su un soggetto esterno all’azienda, che opera "per
conto" del titolare, e che (basta scorrere, appunto, l’art. 28) ha
una serie di caratteristiche intrinseche incompatibili con un soggetto che
faccia parte dell’organigramma interno del titolare.
Ci si sarebbe aspettati, quindi, che almeno nella attività informativa
di base, costituita dalla Guida Operativa pubblicata dal Garante, e da ultimo
aggiornata, si dedicasse al tema almeno un accenno, spiegando che i
responsabili interni non possono più esistere in quanto tali. Ed invece no:
nemmeno una riga. Con il risultato che, nel delirio che sta caratterizzando
l’avvicinamento al 25 maggio, moltissime organizzazione non si stanno
nemmeno ponendo il problema della doverosa ri-definizione del ruolo di
quelli che ormai dovremmo chiamare ex-responsabili;
2. Nelle FAQ in ambito privato, il Garante ha ritenuto utile lanciarsi
in una elencazione di soggetti che devono considerarsi "tenuti
alla nomina del DPO". Nonostante lo stesso documento chiarisca in
un inciso il fatto che quella elencazione postuli comunque che
sussistano i presupposti fissati dall’art. 37, il messaggio che è
passato è che, ad esempio, un call center, in quanto tale, sia tenuto
alla designazione del DPO. Ripeto: nel documento, se lo si legge con
attenzione, l’Autorità ha chiarito la portata della elencazione, e
per i più avveduti è agevole rilevare che un call center non è
affatto tenuto ad avere un DPO, se non svolge operazioni di
trattamento descritte nell’art. 37.
Quello che va evidenziato,
allora, in questo caso, è un deficit di chiarezza e di comunicazione,
che, se non si vogliamo chiudere gli occhi e far finta di nulla, sta
portando a vivere come una sorta di prescrizione quello che l’Autorità
ha invece voluto lanciare come elemento chiarificatore, che tutto ha
fatto meno che chiarire.
Tanto c’è da fare, allora. Ma, anche nelle cose già fatte, sarebbe
forse il caso di operare qualche aggiustamento.
* Avvocato
|
Home
sulle novità di
InterLex
Informazioni sul copyright