A oltre due anni e mezzo dall’emanazione e ad oltre sette mesi dall’entrata in vigore del GDPR 1 diverse aziende si sono correttamente conformate alle nuove disposizioni normative in tema di protezione dei dati personali. Molte, che non si sono mosse con adeguato anticipo, si sono comunque attivate per riuscire ad adempiere alle principali prescrizioni (DPO, informative, contratti, registro, diritti degli interessati) entro il 25 maggio e hanno predisposto un appropriato piano per completare successivamente il processo di adeguamento con una roadmap che spesso va anche oltre il 2018. Purtroppo, diverse realtà, private e pubbliche, risultano ancora impreparate; non si sono adeguate o non hanno ancora predisposto un efficace piano di adeguamento al GDPR; altre hanno invece erroneamente interpretato il processo di adeguamento ritenendolo un mero e sterile adempimento burocratico fatto solo di documenti, procedure e nomine, questo non sempre e non solo per propria colpa.
Vi sono alcune tematiche relative al GDPR che non sempre sono state oggetto di una interpretazione condivisa. Se possiamo considerare finalmente superate le controversie, che hanno tenuto banco per mesi, sulla figura del Responsabile del Trattamento (Art. 4.8 GDPR), che non può che essere un soggetto esterno alla struttura del Titolare del trattamento 2, e quelle sull’Incaricato, figura giuridica prevista all’art. 30 del Codice Privacy italiano 3 e non più prevista dal GDPR, ci sono ora altre fondamentali tematiche oggetto di controversie o di errate interpretazioni; qui di seguito tratteremo brevemente solo alcune fra quelle più frequentemente riscontrabili.
Nomine non necessarie e non richieste dalla norma, ma utili a produrre ‘carta’ e a far crescere i costi; fenomeno questo che ha raggiunto il suo apice nell’imminenza dell’entrata in vigore del Regolamento, con un bombardamento incrociato di e-mail dove ci si ‘battezzava’ l’un l’altro, vuoi Responsabile, vuoi Titolare, magari senza nemmeno prima aver provveduto alla revisione dei contratti o alla predisposizione di specifici addendum al contratto. La nomina a Responsabile del trattamento non esiste tra le previsioni del GDPR e tale figura giuridica si concretizza nel momento in cui, sulla base di un contratto o altro atto giuridico vincolante, si esternalizza o si affida a un soggetto terzo un servizio che prevede il trattamento di dati personali (Art. 28 GDPR). Il GDPR non è una fabbrica di carte inutili e costose.
L’informativa costituisce uno dei presupposti fondamentali affinché un trattamento di dati personali avvenga in modo corretto e lecito ma soprattutto trasparente ed è sempre tra le principali cose che sono verificate in fase di ispezione; nonostante questo, capita ancora di imbattersi online in vecchie informative che fanno riferimento al D.Lgs. 196/2003; questo grave inadempimento, non dovrebbe più esistere nemmeno per una piccola azienda; ma non è assolutamente accettabile ed è gravissimo quando questo accade con un importante cloud provider europeo, presente in decine di paesi con oltre un milione di clienti; il quale, come abbiamo appurato, non ha informative conformi al GDPR, non ha pubblicato sul proprio sito i dati di contatto del proprio DPO e questo in aggiunta ad altri gravi inadempimenti da noi riscontrati.
Anche in aziende virtuose che hanno concluso la prima fase di adeguamento al GDPR entro il 25 maggio (fase questa in cui si è quanto meno provveduto a nomina del DPO, revisioni contrattuali, revisione informative, esercizio dei diritti degli interessati e registro delle attività di trattamento) è capitato talvolta di rilevare comunque l’inadeguatezza delle informative.
A volte le informative risultano non adeguate perché non sono ancora state aggiornate al GDPR, a volte perché troppo generiche e carenti delle informazioni obbligatoriamente richieste dagli articoli 13 e 14, altre volte per mancanza o non completezza delle ulteriori informazioni richieste per specifiche tipologie di trattamenti, come la profilazione e i processi decisionali automatizzati, che ricadono sotto le previsioni dell’art. 22 GDPR. Questi tipi di trattamenti risultano insidiosi e molto pericolosi da governare sotto il profilo giuridico se non si padroneggia perfettamente la norma.
In un trattamento di dati personali legittimato da contratto, non va richiesto anche il consenso, in quanto la sovrapposizione del consenso al contratto diviene strumento per ‘estorcere’ dati ulteriori rispetto a quelli strettamente necessari all’esecuzione del contratto.
Fanno eccezione i casi in cui un trattamento di dati personali, che si basa sul contratto, deve trattare categorie particolari di dati (Art. 9 GDPR); in questo caso il consenso 4, che deve essere ‘esplicito’, diviene precondizione per poter eseguire il contratto. Questo non deve comunque rappresentare un alibi per poter così ‘estorcere’ ulteriori dati all’interessato rispetto a quelli strettamente necessari all’esecuzione del contratto. Anche in questo caso il Titolare deve garantire che sia sempre rispettato il principio di minimizzazione dei dati e che il contratto sia stato sottoposto a test di necessità per poter così individuare ex ante e dimostrare ex post quali siano i dati che sono risultati essere indispensabili per l’esecuzione del contratto.
Questo è il caso della non corretta compilazione del Registro delle attività di trattamento (Art. 30 GDPR) dove, per un determinato trattamento, uno stesso soggetto risulta ricoprire contemporaneamente il ruolo di titolare e di responsabile del trattamento. Questa anomalia è stata a volte riscontrata nelle società appartenenti a un gruppo, dove una società del gruppo fornisce un determinato servizio a sé stessa in qualità di Titolare, ma anche ad altre società del gruppo in qualità di Responsabile. Si tenta di giustificare questa scelta con le più disparate esigenze di praticità e opportunità aziendale. Tutte argomentazioni queste, che se a volte potrebbero anche rappresentare una semplificazione dal punto di vista aziendale, sono contrarie alla normativa. Il caso più classico riguarda i trattamenti del servizio paghe per i dipendenti. In questo caso nel Registro vanno mappati più trattamenti: quello che la società svolge per sé stessa in qualità di Titolare (buste paga per i propri dipendenti) e quello svolto per le altre società in qualità di Responsabile (buste paga per i dipendenti delle altre società del gruppo).
Ciascuno dei temi sopra esposti richiederebbe una sua specifica trattazione molto più estesa per poterne affrontare nel dettaglio tutti gli aspetti e per poter far comprendere appieno le possibili conseguenze, sia in termini di rischi per i diritti e le liberà degli interessati, sia in termini di rischio per l’azienda, non solo in merito alle sanzioni, ma anche in tema di risarcimento del danno, materiale o immateriale (Art. 82 GDPR), esperibile dinnanzi al giudice ordinario, non solo dagli interessati, ma anche da parte di soggetti terzi, comprese le associazioni ex. Art. 80 GDPR.
Articolo a cura di Stefano Luca Tresoldi
Si avvicina la data del Forum Cyber 4.0, che il 3 e 4 Giugno 2024 riunirà a…
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…
La Commissione Europea ha di recente ricordato come “Artificial intelligence (AI) is not science fiction;…